Informe final n15 11 municipalidad de providencia sobre auditoria de tecnologia de informacion y...

Fecha : 19 de agosto de 2011

N° Informe : 15 /2011

r

CONTRALORÍA GENERAL DE LA REPÚBLICA

Informe Final Municipalidad de

Providencia


DIVISIÓN DE MUNICIPALIDADES SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN

ÁREA AUDITORIA 1

PMET 16.050/2011 DMSAI N° 613/2011 REF 211.021/2011

REMITE INFORME FINAL QUE INDICA

SANTIAGO, 19.16011 0 052411

Adjunto, remito a Ud., copia de Informe

Final N° 15, de 2011, debidamente aprobado, sobre auditoría de Tecnologías de

Información y Comunicaciones efectuado en ese municipio.

Saluda atentamente a Ud.

POR ORDEN DEL CONTRALOR GENERAL PRISCILA JARA FUENTES

ABOGADO Jefe . División de Municipalidades

AL SEÑOR ALCALDE DE LA MUNICIPALIDAD DE PROVIDENCIA PRESENTE /


ODIVISIÓN DE MUNICIPALIDADES SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN

ÁREA DE AUDITORÍA 1

PMET 16.050/2011 DMSAI 613/2011 REF 211.021/2011


SANTIAGO, 19. Á601 1 *052412

Adjunto, sírvase encontrar copia del

Informe Final N°15, de 2011, de esta Contraloría General, con el fin de que, en la

primera sesión que celebre el concejo municipal, desde la fecha de su recepción,

se sirva ponerlo en conocimiento de ese órgano colegiado entregándole copia del

mismo.

Al respecto, Ud. deberá acreditar ante

esta Contraloría General, en su calidad de secretario del concejo y ministro de fe,

el cumplimiento de este trámite dentro del plazo de diez días de efectuada esa

sesión.


MI ORDEN DEL CONTRALOR GENERAL /PRISCILA JARA 'FUENTES

ABOGADO Jefe División de Municipalidades

AL SEÑOR SECRETARIO MUNICIPAL PROVIDENCIA PRESENTE



ÁREA AUDITORÍA 1

PMET 16.050/2011 DMSAI N° 613/2011 REF 211.021/2011


SANTIAGO, 19. A601 I *052413

Adjunto, remito a Ud., copia de Informe

Final N' 15, de 2011, debidamente aprobado, sobre auditoría de Tecnologías de

Información y Comunicaciones efectuado en ese municipio.


POR ORDEN DEL CONTRALOR GENERAL / PRISCILA JARA FUENTES

AllOGADC.1 Jefe ,División do Municipalidades

AL SEÑOR DIRECTOR DE CONTROL MUNICIPALIDAD DE PROVIDENCIA PRESENTE /

6011A CONTRALORÍA GENERAL DE LA REPÚBLICA

(MIL [

ÁREA AUDITORÍA 1

PMET N° 16.050/11 DMSAI N° 613/11 REF N° 211.021/11

INFORME FINAL N° 15, DE 2011, SOBRE AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LA MUNICIPALIDAD DE PROVIDENCIA .

SANTIAGO, 1 9 460, 2011

En cumplimiento del plan anual de fiscalización para el año 2011 y de acuerdo con las facultades establecidas en la ley N° 10.336, Orgánica de esta Institución, esta Contraloría General se constituyó en la Municipalidad de Providencia, para efectuar una auditoría de tecnologías de información y comunicaciones.

Objetivo

El objetivo del examen consistió en revisar y evaluar aspectos relacionados con las políticas, normas, prácticas y procedimientos de control relativos a los sistemas basados en las tecnologías de información y comunicaciones (TIC), incluidas aquellas actividades de tipo manual o no automatizadas, que se desarrollan en el entorno de tales sistemas.

Metodología

El trabajo se efectuó conforme a las normas y procedimientos de control aceptados por este Organismo Fiscalizador e incluyó las pruebas de validación respectivas, sin perjuicio de utilizar otros medios técnicos estimados necesarios en las circunstancias.

Alcance

La revisión abarcó el período comprendido entre enero y diciembre de 2010, circunscribiéndose a las siguientes áreas:

a) Controles generales de las tecnologías de la información (TI). b) Controles de seguridad física. c) Controles de procedimientos de respaldo. d) Controles de recuperación de desastres. e) Controles específicos asociados a las aplicaciones de procesos significativos.


A LA SEÑORA JEFE DE LA DIVISIÓN DE MUNICIPALIDADES PRESENTE JPT

CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE MUNICIPALIDADES

SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN ÁREA AUDITORÍA 1

-2-

f) Sistemas administrativos municipales - Permisos de circulación. - Tesorería municipal. - Contabilidad gubernamental.

Patentes municipales.

g) Contratos vigentes.

- Act Ltda. Servicios de mantención, soporte y programación para los sistemas integrados.

- Acrotek Ltda. Renovación de licencias de antivirus Kaspersky.

- Airh Software Ltda. Soporte para las herramientas de gestión de recursos humanos.

- Global Crossing Chile S.A. Servicio de hosting y housing.

- GTD Teleductos S.A. Servicio de enlaces dedicados Internet para dependencias externas. Servicio de enlaces dedicados Internet para dependencias externas, opción B. Servicio de Internet con administración gerenciala de seguridad.

- Ingelan Ltda. Sistema turnomático con servicio de soporte para la atención de público.

- Insico S.A. Soporte pago de permisos de circulación por Internet.

- Marketing Interactivo Global S.A. Servicio de desarrollo y mantención del sitio Web Providencia.

- Marketing Relacional y Fidelización Ltda. Desarrollo de software y base de datos integral Filemaker Pro, para la gestión de la dirección de desarrollo comunitario.

- Orion 2000 Ltda. Soporte mensual de servicio de correo electrónico. Renta mensual de 810 cuentas de correo electrónico.

- Proexsi Ltda. Sistema de inspección digital. Servicio de soporte y mantención del sistema de información de Juzgados de Policía Local. Servicio de soporte sistema licencias de conducir.

- Sistemas Digitales Newtec Ltda. Servicio de mantenciones preventivas y correctivas para racks de comunicaciones.

- Sistemas Modulares de Computación Ltda. Arriendo de sistemas administrativos municipales.

- Stuedemann S.A. Servicio de impresión para la Municipalidad de Providencia. Servicio de respaldo de archivos centralizados.

- Suministra S.A. Renovación tecnológica de computadores. Servicio de mesa de ayuda.

- Technosystems S.A. Arriendo de equipos permisos circulación 2011.

- Tsensor Chile S.A. Servicio de sensores de humedad y temperatura para datacenter municipal.



-3-

h) Cumplimiento de los decretos supremos N°s 77, 81 y 83, de 2004; y, N°s 93 y 100, de 2006, del Ministerio Secretaría General de la Presidencia.

En el contexto de los objetivos de auditoría, se evaluaron los temas relacionados con tecnologías de información en régimen operativo y que tienen relación directa o indirecta con transacciones automatizadas de los sistemas administrativos municipales.

En tal sentido, se efectuó un análisis de los procedimientos municipales específicos y de la aplicación de controles, con la finalidad de verificar que la seguridad implantada en los procesos brinde a las transacciones de los sistemas un resguardo operacional apropiado, así como que hayan sido debidamente autorizadas, validadas y procesadas, de forma correcta y oportuna.

La información utilizada fue proporcionada por el secretario comunal de planificación de la Municipalidad de Providencia y puesta a disposición de esta Contraloría General, mediante oficio N° 1.447, con fecha 4 de febrero de 2011.

Cabe señalar que, con carácter confidencial, mediante oficio N° 31.539, de 18 de mayo de 2011, fue puesto en conocimiento de la autoridad comunal el preinforme conteniendo las observaciones establecidas al término de la visita, con la finalidad que formulara los alcances y precisiones que a su juicio procedieran, cuya respuesta, contenida en oficio N° 4.661, de 17 de junio de 2011, recibida en forma extemporánea, ha sido igualmente analizada para la emisión de presente informe.

El análisis de las observaciones formuladas en el citado preinforme, en conjunto con los antecedentes aportados por la autoridad edilicia en su respuesta, determinaron lo siguiente.

I.- AMBIENTE TI ACTUAL DEL SERVICIO

1.- Procesos significativos asociados a TI.

El municipio presenta los siguientes procesos significativos:

a) Pago de permiso de circulación y emisión de certificado.

b) Pago y emisión de patente comercial.

c) Decretos de pago y remuneraciones.

d) Transacciones de ingresos.

2.- Estructura organizacional.

El departamento de computación e informática de la Municipalidad de Providencia se encuentra en un nivel jerárquico medio dentro de la estructura organizacional, dependiendo directamente del secretario comunal de planificación, lo cual se grafica en el organigrama, anexo N° 1.



-4-

Por su parte, la inexistencia de calificación profesional acorde al área, por parte de la jefatura citada precedentemente, no permite que se desarrolle una acabada y profunda evaluación para la toma de decisiones, que implique mejorar los procesos informáticos municipales.

Sobre el particular corresponde mantener la observación formulada, toda vez que esa autoridad no se pronuncia a su respecto.

El departamento ya señalado opera prestando servicios de soporte de hardware, software y redes, encontrándose conformado por ocho funcionarios municipales, desempeñándose uno de ellos como jefe de dicha dependencia, contando, además, con tres profesionales, dos técnicos, dos secretarias, y cuatro personas contratadas a honorarios dentro de los cuales se encuentran tres profesionales y un técnico, el detalle se indica en cuadro adjunto.

Nombre Cargo Calidad Jurídica

Calificación Técnica

Profesional Dependencia

Jerárquica

Terreros Andrade Boris

Rodolfo

Jefe Departamento Planta

Ingeniero Ejecución en Informática

Secretario Comunal de Planificación

Villagrán Lazo Jessica Silvia

Profesional Contrata Ingeniero

Ejecución en Informática

Jefe Departamento

de Computación e Informática

Acevedo Guzmán

Marcos Sergio Profesional Contrata

Ingeniero Ejecución en Informática

Jefe Departamento


Silva Villegas Lorena Ivete

Profesional Planta Ingeniero

Ejecución en Informática

Jefe Departamento


González Galán Alejandra Daniela

Secretaria Planta

Jefe Educación Media

Departamento


González Villa Carlos Alberto

Técnico Planta

Técnico en Programación

de Computadores

Jefe Departamento


Araneda Herrera María

Alejandra

Secretaria Departamento Planta

Jefe Educación

Media Departamento


Silva Villegas Williams Rolando

Técnico Contrata

Técnico en Programación

de Computadores

Jefe Departamento


Ojeda Díaz Eduardo Andrés Profesional Honorarios a

suma alzada Sin información

Jefe Departamento




-5-

Nombre Cargo Calidad Jurídica

Calificación Técnica

Profesional Dependencia

Jerárquica

Arriaza Lagos Víctor Manuel

Técnico Honorarios a suma alzada

Sin información

Jefe Departamento


Arce Peña Juan Álvaro Romelio

Profesional Honorarios a suma alzada

Sin información

Jefe Departamento


Silva Schürmann

Carolina Amalia Marcia

Profesional Honorarios a suma alzada Sin información

Jefe Departamento


Por otra parte, cabe hacer presente que no se han realizado evaluaciones de calificación técnica profesional al personal que se desempeña en la dependencia antes citada.

Sobre el particular corresponde mantener la observación formulada, toda vez que esa autoridad en su respuesta no se pronuncia sobre el particular.

Adicionalmente, el personal del departamento de computación e informática municipal, durante el año 2010, participó en cursos grupales de administración del correo corporativo Gmail y utilización de firma electrónica. Asimismo, a nivel personal y dependiendo del perfil profesional, se ha enviado a los funcionarios a diversos cursos, cuyo detalle es el siguiente:

Funcionario Curso Entidad acreditada Duración horas

Jessica Villagrán Lazo

Formación de auto- evaluadores Internos en el modelo de gestión de excelencia

Chilecalidad (Corto)

Sin información

Formación de auditor interno en sistemas integrados de gestión ISO 9001- ISO 14001 - OHSAS 18001.

lcontec S.A. 24

Lorena Silva Villegas Curso: "Actualización de conocimientos en compras y contrataciones públicas

Inceduc 10

Alejandra González Galán

Curso: tratamiento de acciones correctivas y preventivas

Inceduc 8

Carlos González Villa Curso: "Actualización de conocimientos en compras y contrataciones públicas

Inceduc 10

Williams Silva Villegas Curso: Tratamiento de acciones correctivas y preventivas

Inceduc 8

Eduardo Ojeda Díaz

Curso: Implementadores integrados en norma ISO 9001:2008, ISO 14001:2004 Y OHSAS 18001:2007

QualitasGea Consultores 10



-6-

3.- Diagrama de red.

La operación de las redes, software y procedimientos para la gestión de equipos remotos, incluyendo los equipos en áreas de usuarios, tiene como responsable al jefe del departamento de computación e informática, con dependencia del secretario de planificación comunal, y las empresas GTD Teleductos S.A., Newtec S.A., Marketing Relacional y Fidelización Ltda., Proexsi Ltda., Insico S.A. y SMC Ltda.

De acuerdo a los antecedentes proporcionados por el jefe del departamento de computación e informática, la Municipalidad de Providencia cuenta actualmente con una red informática estructurada por unidad, además de puntos de red certificados, anexo N° 2.

La entidad presenta deficiencias al no contar con procedimientos y servicios establecidos orientados a resguardar la integridad de los datos municipales. Lo anterior, debido a que el municipio no posee un plan de recuperación ante desastres, formalizado y difundido, para cubrir cualquier eventualidad, sin embargo, cuenta con procedimientos destinados a dar continuidad a los servicios, que son de propiedad de las empresas proveedoras de éstos.

La autoridad comunal en su respuesta señala que existe el procedimiento estructural N° 023, sobre formas y vías de proceder con el contenido y definición de los servidores, el cual se encuentra formalizado mediante decreto exento N° 2.010, de 27 de octubre de 2010, y que forma parte del sistema de gestión ISO.

Al tenor de lo expuesto por esa autoridad y los antecedentes que acompaña, se levanta la observación planteada.

El plan de contingencia debiera, como mínimo, contar con la definición de equipos, procedimientos a realizar, plan alternativo, evaluación de áreas críticas, difusión y prueba del plan formal a nivel municipal.

Sobre el particular, la autoridad comunal en su respuesta señala que. mediante licitación pública, ID 2490-7-L111, se realizó la adquisición de servidores, con la finalidad de virtualizarlos, no obstante éstos no se encuentran habilitados ni en operación.

Efectuada las verificaciones en el portal Mercado Público, se observó que esa entidad procedió a realizar una adjudicación múltiple de servidores para un entorno virtualizado y mejoramiento de procesos, por un monto neto ascendente a US$ 17.342.-.

Al respecto, lo informado por la autoridad municipal y la documentación de respaldo analizada, no permiten levantar la observación expresada, debido a que el plan de contingencia no solamente incluye mejoramiento en la plataforma de hardware sino en los procedimientos y equipos de trabajo, respecto de los cuales no se informa.

Actualmente se utilizan, a título de plan de recuperación ante desastres, los procedimientos administrados por la empresa Global Crossing Chile S.A., los cuales contemplan uso de enlaces de comunicaciones



-7-

redundantes, administración redundante de la energía eléctrica, servicio de backup centralizado para base de datos y aplicaciones.

Los diagramas del modelo general de la red del municipio, enlaces de Internet, y servidores activos, se presentan en el anexo N° 2.

4.- Proyectos establecidos.

El secretario comunal de planificación, mediante oficio N° 1.448, de 9 de febrero de 2011, informó sobre los proyectos vigentes y sus estados de avance, en los siguientes términos:

a) En relación con el área de sistemas, existen seis proyectos tendientes al mejoramiento del portal de pagos, auto-consulta y licenciamiento. Asimismo, a nivel de infraestructura se estudia la factibilidad de optimizar la toma y actualización del inventario físico de bienes informáticos. A continuación el detalle:

Proyecto Área Financiamiento Estado Definición de arquitectura de sistemas

Sistemas Municipal Estudio

Mejoras al sistema centralizado de pagos


Mejoras al Sistema Web de Catastro


Mejoras al Sistema de Pago de Partes


Sistema de autoconsulta (kioscos de atención)


Mejoramiento toma de inventario equipos

Infraestructura Municipal Estudio

Mejoramiento inventario de licencias


En relación a los proyectos del área de sistemas, la autoridad comunal en su respuesta manifiesta que el proyecto denominado "Definición de Arquitectura de Sistemas", actualmente se encuentra en etapa de planificado y no en estudio, como se señaló en el preinforme de observaciones.

Sobre el particular, corresponde hacer presente que los antecedentes detallados en el preinforme, sólo indican procesos de mejoramiento, los cuales contienen información resultante de documentación oficial remitida por ese municipio para el período en estudio. no considerándose como una observación.

b) A nivel de infraestructura, se encuentran en etapa de redacción de bases los proyectos asociados al fortalecimiento de la red municipal, mejoramiento de la sala de servidores y el soporte ante contingencias. A continuación el detalle:



-8-

Proyecto Área Financiamiento Estado

Cableado estructurado Infraestructura Municipal

Redacción de bases

Mejoramiento sala de servidores Infraestructura Municipal Redacción de

bases Servicio plataforma de comunicaciones c/soporte y monitoreo

Infraestructura Municipal Redacción de bases

Soporte sistema de UPS sala servidores

Infraestructura Municipal Redacción de

bases Soporte sistema documental, firma electrónica Sistemas Municipal Redacción de

bases

Respecto a los proyectos de sistemas, la autoridad municipal en su respuesta señala que el proyecto "Soporte Sistema Documental, Firma Electrónica", posee estado del tipo "Propuesta".

Al respecto, se reitera que no todo el contenido del presente informe constituye materia de observación.

c) Algunos proyectos de sistemas se encuentran en etapas de licitación, adjudicación o desarrollo, los cuales se presentan a continuación:

Proyecto Área Financiamiento Estado Plataforma tecnológica Sistemas Municipal En licitación Soporte archivo histórico Sistemas Municipal Adjudicado Instalación y puesta en marcha (2 sistemas) Sistemas Municipal Adjudicado

Mensualidad Sistemas Municipal Adjudicado Sistema de requerimientos Sistemas Municipal En desarrollo Desarrollo banco municipal de proyectos Sistemas Municipal En desarrollo

En relación a los proyectos definidos como de sistemas, la autoridad municipal expone que para el proyecto de Soporte Archivo Histórico, su estado actual es tipo propuesta, ya que se procedió a su licitación, ID 2490-4-LE11, resultando desierta y en preparación de un nuevo llamado.

Por otra parte, los proyectos cuyos nombres son "Instalación y Puesta en Marcha (2 sistemas)" y "Mensualidad", corresponden a uno solo, cuyo nombre es "Sistema de Atención de Público", según indica la autoridad municipal.

Sobre lo expuesto precedentemente, se reitera que los proyectos detallados sólo se mencionan en cuatro procesos de mejoramiento y agrupan datos de documentación oficial remitida por ese municipio en el periodo bajo examen, no constituyendo una observación.


SUBDIVISIÓN DE AUDITORIA E INSPECCIÓN ÁREA AUDITORIA 1

-9-

4.1.-Tecnología incorporada.

a) Sistema Online.

El sistema de firma digital tiene por finalidad emitir certificados catalogados como documento público, usando la modalidad de firma digital avanzada. Los certificados a emitir son:

- Certificado de Capital Propio, Departamento de Rentas.

- Certificado de Número, Departamento de Catastro e Inspección.

- Certificado de Expropiación, Departamento de Catastro e Inspección.

- Certificado de línea, Departamento de Catastro e Inspección.

- Boletín de Permisos de Circulación (Pago por Internet), Departamento de Permisos de Circulación.

En la actualidad existe un proceso de intercambio de información entre los sistemas que administran los datos, a saber, sistemas de rentas, catastro, tesorería, recursos humanos y el sistema que firma los documentos y posteriormente los visualiza en formato PDF o HTML.

Por otra parte, desde marzo de 2010, el sistema contiene una interfaz para el sistema de permisos de circulación, que se encuentra en un equipo del Datacenter con un token y una aplicación que revisa documentos pendientes por firmar. Una vez firmados, la aplicación almacena los documentos en el repositorio central. El proceso de firma se realiza con certificados X509 de entidades acreditadoras para firma avanzada, los cuales se encuentran almacenados en el token, asimismo, el método de firma es RSA con SHA1.

b) Infraestructura tecnológica.

• Redes

Se cuenta con una red basada en gateway, firewall y switch, que posee un enlace redundante a Internet de 100 Mbps Nacional y 10 Mbps Internacional, un enlace simple de 100 Mbps a la red backup y 8 conexiones por medio de switches para soportar la red interna municipal.

Adicionalmente, existe una red perimetral asociada a un firewall que soporta los sistemas de la dirección de desarrollo comunitario, aplicaciones Web y el servicio CGI de Transbank. Por otra parte, existen servidores virtualizados tanto en el datacenter municipal para los servicios de monitoreo, alertas y escaneo de impresoras, como en el datacenter de Global Crossing que presta el servicio de Hosting por medio de servidores orientados a servicios de motor de base de datos SQL y Oracle, servidor de aplicaciones, servidor de archivo, servidor web, controlador de dominio, software de gestión de bibliotecas municipales, portal web municipal y de pagos de permiso de circulación. Anexo N° 2.

A nivel del departamento de computación e informática, se encuentran definidas mantenciones preventivas de redes, las cuales fueron desarrolladas en el período 2010, a través de actividades como cambio de patchcable, limpieza y ordenamiento de componentes del rack, cambio de



-10-

ventiladores, limpieza de gabinetes de fibra óptica, fijación de patch paneis y revisión de conexiones, cambio de chapas en puertas de rack tipo armario, actualización de formulario de racks de comunicaciones y levantamiento en planos de puntos de red.

• Enlace de comunicaciones:

El detalle de los enlaces de comunicaciones de la Municipalidad de Providencia, se contiene en anexo N° 3.

• Servidores por función:

El detalle de los servidores de la Municipalidad de Providencia, se incluye en anexo N° 4.

c) Mantenimiento.

Mediante oficio N° 1.828, de 8 de marzo de 2011, emitido por el secretario comunal de planificación, éste informó sobre las medidas de mantenimiento del equipamiento de la sala de servidores, cuyo detalle es el siguiente:

Respecto de las mantenciones eléctricas del equipamiento alojado en sala de servidores municipal, se cuenta con dos programas, uno de mantención preventiva al equipamiento de comunicaciones y otro adicional, de mantención preventiva de servidores.

Actualmente, en la mantención de equipamiento de comunicaciones, se incluyen las actividades indicadas en la letra b), precedente, sobre infraestructura tecnológica, sección redes.

Por otra parte, la mantención de servidores incluye limpieza de filtros, ventiladores, tarjetas electrónicas y contactos eléctricos de módulos de memorias, fuentes de poder, mantención externa y de software en operación.

De la misma forma, se cuenta con procedimientos de mantención de grupo electrógeno, los cuales se efectúan dos veces al año y bajo la supervisión de la sección de servicios generales. Lo anterior, a fin de asegurar la continuidad del suministro de electricidad que se ofrece a la sala de servidores y al municipio en general. A su turno, las UPS que actualmente se encuentran alojadas en la sala de servidores municipal no cuentan con mantenimiento y se encuentran sin operar.

Al respecto, el alcalde en su respuesta señala que, las UPS de la sala de servidores se encuentran actualmente operativas pero no cuentan con mantención, por lo que se planea retirarlas, a fin de darlas de baja y en forma conjunta adquirir nuevo equipamiento, mediante licitación pública ID 2490-8- LE11, para la adquisición de dos UPS de 10 KVA cada una, con dos mantenciones anuales.

Al tenor de lo expuesto por esa autoridad, las validaciones efectuadas y los antecedentes que acompaña, se levanta la observación planteada.



- 11 -

II.- SOBRE CONTROL INTERNO, PROCESOS TI Y EL RIESGO DE FRAUDE

1.- Control interno.

a) Mediante decreto alcaldicio N° 386, de 28 de febrero de 2008, se fijó el texto refundido y sistematizado del reglamento interno de la Municipalidad de Providencia.

El reglamento señalado, en su título II, artículos 38 y 39. indica la dependencia, objetivos y funciones del departamento de computación e informática, relacionadas con el apoyo a la gestión municipal en el ámbito informático y computacional, incorporando los elementos de software, hardware y de comunicaciones necesarias, las que se encuentran detalladas en anexo N' 5.

b) En relación con la toma de decisiones respecto de las políticas de sistemas e inversión de equipamiento, ésta no se lleva a cabo por personal capacitado en informática.

Al respecto, el alcalde señala que las decisiones son tomadas por personal del departamento de computación e informática con conocimientos y capacidades, los cuales evalúan y estudian alternativas acordes a las necesidades.

Sobre el particular, corresponde hacer presente que el proceso no solamente se relaciona con la entrega de información especializada, sino que con la elección y decisión final, la cual no se efectúa solamente por el jefe del departamento de computación e informática, sino por el secretario de planificación comunal, por lo que se mantiene la observación inicial.

c) Por otra parte, dentro del departamento de computación e informática no se manejan matrices de control, que consideren el análisis de acceso físico a instalaciones y lógico de los sistemas.

La autoridad municipal, en su respuesta corrobora lo observado, manifestando que se evaluará, de acuerdo al presupuesto, su ejecución y/o implementación. Al respecto, contar con tales matrices constituye una recomendación de control y no propiamente una observación.

d) No se han practicado revisiones programadas y auditorías internas con un enfoque a las TI, lo que provoca la ausencia de informes sobre el estado de la plataforma de hardware y software, revelando la falta de planificación que actualmente mantiene ese departamento en esta área de operación.

En relación a lo observado, el alcalde informa que, se evaluará, conforme disponibilidad de presupuesto, efectuar a lo menos cada dos años auditorías sobre el estado de la plataforma de hardware y software.

No obstante, no se acompañan antecedentes que respalden la medida informada, por lo que procede mantener la observación.

Además, no existen políticas de rotación de equipos de acuerdo a su potencialidad y carga de procesos informáticos, asimismo, no se realiza una evaluación relacionada con la criticidad de éstos, con el fin de asegurar su funcionamiento continuo.



-12-

Al respecto, el alcalde señala que en el año 2008, el departamento de computación e informática definió, previo a la licitación "Renovación Tecnológica de computadores, servicio de mesa de ayuda y respaldo de información de usuarios para la Municipalidad de Providencia", tres tipos de computadores para asociar por carga de trabajo y criticidad.

La situación precedentemente expuesta, si bien corresponde a una definición respecto a inversión en equipamiento, no es un procedimiento permanente para balancear la carga de procesos, por lo que no es posible salvar la objeción formulada.

2.- Riesgos asociados a TI.

El municipio presenta procesos significativos, los cuales fueron considerados para su evaluación, en relación a las siguientes situaciones de prueba:

a) Obtención y/o renovación de permiso de circulación sin ingreso y/o acreditación física y online de datos sobre propietario, placa patente única, seguro obligatorio, revisión técnica y multas impagas.

b) Obtención y/o renovación de patente municipal sin ingreso y/o acreditación de datos de contribuyente, propiedad, sucursales y datos del Servicio de Impuestos Internos.

c) Emisión de decretos de pago sin registrar datos y/o sin comprobantes.

d) Decretos de pago imputados a cuentas presupuestarias que no corresponden.

e) Duplicidad de pago de derechos de aseo por pago de contribuyentes a través del sistema de patentes comerciales.

f) Emisión de cheque individual sin consultar datos en sistema de contabilidad gubernamental.

g) Recepción de pagos con cálculo de intereses y multas fuera del período.

Al respecto, el alcalde en su respuesta hace un análisis de cada uno de los riesgos de prueba, exponiendo los controles que el municipio contempla para aminorar la ocurrencia de anomalías en el funcionamiento de los sistemas, en cada uno de ellos.

Sobre el particular, es necesario hacer presente que los antecedentes detallados en el preinforme, sólo corresponden a la enunciación de los riesgos genéricos sobre los cuales se realizan las pruebas de auditoría y no necesariamente corresponden a observaciones que hayan sido advertidas en el municipio en forma preliminar, por lo que no corresponde informar sobre los literales del presente numeral.

III.- REVISIÓN DE CONTRATOS VIGENTES ASOCIADOS A TI

De la totalidad de los contratos suscritos por la Municipalidad de Providencia en el ámbito de TI, se determinó una muestra usando



-13-

muestreo analítico y aleatorio simple, con un nivel de confianza del 95% y una tasa de error de 3%, parámetros estadísticos aprobados por esta Entidad Fiscalizadora, el que determinó respecto de los egresos municipales, una muestra de $ 675.540.093.-, lo que representa el 53,67% del universo, equivalente a $ 1.258.692.180.-.

En relación con lo anterior, los contratos en estudio son los operados por las empresas Act S.A., Global Crossing S.A., Marketing Relacional y Fidelización Ltda., Orion 2000 S.A., Suministra S.A. y Sistemas Computacionales Modulares Ltda.

Tales contratos, en el período en examen, están normados técnicamente y en funcionamiento, realizándose análisis y pruebas de validación de integridad de datos a registros de procesos críticos, evaluación de disponibilidad, tiempos de respuesta y reportes de salida.

En cuanto a los aspectos administrativos, es necesario señalar lo siguiente:

1.- Importaciones y Servicios Advanced Computing Technologies S.A., Act S.A.

Mediante decreto alcaldicio EX N° 234, de 30 de enero de 2009, se adjudicó a la empresa Importaciones y Servicios Advanced Computing Technologies S.A., por medio de licitación pública, ID N° 2490-11037- LP08, el contrato denominado "Servicios de mantención, soporte y programación para los sistemas integrados de la Municipalidad de Providencia", siendo su tarificación la indicada en los cuadros adjuntos, de acuerdo a los tres servicios contratados.

Servicio Detalle Valor mensual IVA incluido N° 1 Mantención y soporte. 3.969.975

Servicio Detalle Valor

Anual IVA Incluido

N° 2 Configuración servidor de base de datos para permisos de circulación.

4.869.048



-14-

Servicio Detalle Valor precios unitarios

$ N° 3 Valor hora programación en

plataforma de desarrollo cliente/servidor.

23.294

Valor hora de programación en plataforma de desarrollo web.

23.294

Valor hora de Ingeniero Analista de Sistema.

23.294

Valor hora Administrador de Base de Datos Oracle 9i, SQL Server.

31.059

Valor mensual de programación en plataforma de desarrollo cliente/servidor.

1.760.000

Valor mensual de programación en plataforma de desarrollo Web.

1.760.000

Valor mensual de Ingeniero Analista de Sistema.

1.760.000

Valor mensual de Administrador de Base de Datos Oracle 9i, SQL Server.

2.484.706

Por otra parte, a continuación se presentan los sistemas que hacen uso de los servicios ya señalados:

• Tesorería • Catastro e inspección • Catastro Web • Permisos de circulación • Permisos de circulación por Internet • Patentes municipales • Inspección rentas • Declaración de capital por Internet • Edificación • Módulo de recaudación de pagos Web • Permisos de construcción

El contrato tiene una vigencia de 48 meses, período que podría renovarse dos veces hasta por un máximo de 12 meses cada una, si ninguna de las partes manifiesta a la otra su intención de ponerle término por escrito con a lo menos 60 días de anticipación a la fecha de término del contrato o de la prórroga que se encuentre vigente, con las formalidades que indica.

El plazo de duración del servicio se cuenta desde la entrega de los sistemas, de los cuales se levanta un acta, suscrita por la empresa contratista, el inspector técnico de servicio y el secretario comunal de planificación.

La empresa, según contrato, debía hacer entrega de una garantía a nombre de la Municipalidad de Providencia por un monto equivalente a dos mensualidades correspondientes al valor total mensual del servicio de mantención y soporte, la que se reajustará anualmente de acuerdo a la variación del IPC, con una vigencia igual a la del contrato más 60 días desde la recepción

( n

604" CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE MUNICIPALIDADES


- 15 -

provisoria del servicio, documento que no fue puesto a disposición de esta Entidad de Control.

Sobre lo anterior, la autoridad comunal en su respuesta adjunta la boleta de garantía N° 6.495, del Banco Rabobank, por un monto de UF 200, con una vigencia hasta el 1 de mayo de 2014.

Examinados los nuevos antecedentes proporcionados por ese municipio, corresponde levantar la observación formulada.

Para el período bajo examen, de acuerdo a lo informado por esa entidad comunal, los desembolsos registrados en el sistema contable ascendieron a la suma de $ 101.683.367.-, acreditándose $ 67.857.850.-, de acuerdo con los antecedentes de respaldo aportados en la auditoría, el detalle de los decretos de pago se indica en anexo N° 6.1.

Sobre lo anterior, el alcalde manifiesta que, la diferencia informada se produce por el cambio de año, cuando las últimas mensualidades se cargan a la cuenta "obligaciones pendientes años anteriores", adjuntando para ello fotocopia de los documentos de respaldo faltantes.

De acuerdo a los nuevos antecedentes puestos a disposición, y analizados los argumentos esgrimidos por la autoridad se da por superada la observación formulada.

En relación al contrato, no se consideran cláusulas sobre operaciones orientadas a:

• Confidencialidad de la información municipal. • Controles para asegurar la protección de la información, su respaldo y

administración contra software malicioso y third party software. • Restricciones de copiado y divulgación de información municipal. • Plan de contingencias para accesos indebidos, siniestros físicos y lógicos. • Posibilidad de auditar módulos del sistema administrativo municipal y los datos. • Devolución o destrucción de la información y bienes, amparado por las

regulaciones legales y término de la relación contractual. • Asesoría técnica a proporcionar por los sistemas administrativos. • Especificaciones de los detalles técnicos por servicios entregados. • Disposiciones para informar, notificar e investigar los incidentes y las

violaciones a la seguridad a través del sitio Web. • Cumplimiento de normativa gubernamental respecto a publicación, uso y

administración de la información municipal.

La autoridad municipal en su respuesta informa que, respecto a la confidencialidad de la información municipal se encuentra descrita en la letra p), de las bases técnicas.

En relación con los controles para asegurar la protección de la información, respaldo y administración contra software malicioso de información municipal, el alcalde indica que en el contrato se encuentran delegadas las funciones por ser un servicio externo, encontrándose el detalle en las bases técnicas.



-16-

En cuanto a las restricciones de copiado, divulgación de información y especificaciones de los detalles técnicos por servicios entregados, también se encuentran descritas en las bases técnicas.

Sobre las restantes consideraciones, el alcalde expone que serán contempladas en futuras licitaciones.

En base a lo expuesto precedentemente, junto con la documentación de respaldo y el análisis realizado, corresponde levantar las observaciones referidas a la confidencialidad de la información municipal; controles para asegurar la protección de la información, respaldo y administración contra software malicioso de información municipal, restricciones de copiado, divulgación de información y especificaciones de los detalles técnicos por servicios entregados. Respecto de las restantes consideraciones, ellas se mantienen debido a que no se encuentran respaldadas.

2.- Global Crossing Chile S.A.

Mediante decreto alcaldicio EX N° 2.701, de 28 de diciembre de 2009, se adjudicó a la empresa Global Crossing Chile S.A., mediante licitación pública ID N° 2490-46-LP09, el "Servicio de Hosting y Housing para la Municipalidad de Providencia", con una vigencia por 4 años, período que podría renovarse por dos veces hasta por un máximo de un año cada uno, si ninguna de las partes manifiesta a la otra su intención de ponerle término mediante carta certificada enviada con a lo menos 90 días de anticipación a la fecha de término del contrato.

Asimismo, el contrato contempla que, en el evento que el monto acumulado de las multas supere el 25% del valor del contrato, el municipio podrá poner término al contrato y hacer efectivas las garantías correspondientes.

Los servicios adjudicados se encuentran tarificados de acuerdo a los cuadros siguientes:



-17-

Servicio de Hosting y Housing mensual.

Servicio Detalle Valor mensual

UF con IVA Hosting para servidores web

— B - Arquitectura física, alojamiento, administración, monitoreo y accesos.

172,55

- Enlace Internet 100 Mbps / 3 17,85 Mbps nacional. - Enlace dedicado de datos 21,42 100 Mbps. - Firewall. 15,47

Hosting para servidores web - Licencias Windows. 18,56 — B - Licencias SQL Server. 10,76

- Licencias Nodos 6,87 Virtualizados. - Licencias Antivirus. 2,95

Hosting para servidores de dominio y base de datos

— D

- Arquitectura física, alojamiento, administración, monitoreo y accesos.

220,15

- Enlaces redundantes dedicados de datos 100

45,22

Mbps. - Firewall. 15,47

Hosting para servidores de - Licencias Windows. 18,56 dominio y base de datos - Licencias SQL Server. 10,76

— D - Licencias Nodos 8,59 Virtualizados. - Licencias Antivirus. 4,17

Servicio de Habilitación.

Servicio Detalle Valor total

UF con IVA Habilitación de servicio de Hosting para servidores Web

-A

- Migración de servicios web y puesta en marcha.

238,00

Habilitación de servicio de Hosting para servidores de dominio y base de datos

-C

- Migración de servicios web y puesta en marcha.

238,00

Para el fiel cumplimiento de la ejecución de los servicios, la empresa citada hizo entrega de la boleta de garantía N° 0095682, por 138,04 UF, del Banco Scotiabank, con vencimiento al 30 de abril de 2012, sin embargo, la garantía no cubre la totalidad del período definido en el contrato, que se extiende hasta el 28 de diciembre de 2013.

Sobre el particular, el alcalde en su respuesta señala que la boleta citada corresponde a un aumento de servicio, la cual se suma a la original de la adjudicación, por lo que, ambas boletas corresponden al valor de 2 veces la mensualidad adjudicada o aumentada, y cuyo detalle corresponde, por una parte, a la adjudicación del contrato N° 7/2010, con decreto Ex. N° 2.701, de 28 de diciembre de 2009, póliza de seguro de garantía N° 22002721, corredor de seguros Marsh S.A., por UF 1.178,74.-, con vigencia hasta 1 de abril de 2014.



-18-

Seguidamente señala que, respecto al aumento del servicio, mediante decreto Ex. N° 2.147, de 15 de noviembre de 2010, para el contrato N° 141/2010, sobre hosting y housing para el municipio, la boleta de garantía se encuentra vigente, sin embargo no tiene la cobertura requerida en el referido contrato, por lo que se solicitará a la empresa su reemplazo.

Examinados los nuevos antecedentes proporcionados por ese municipio, se mantiene la observación planteada inicialmente, dado que no existe documentación de respaldo que acredite la ampliación en la vigencia de la boleta antes citada.

Durante el período en estudio, el municipio ha desembolsado la suma de $ 158.743.950.-, el detalle se señala en anexo N° 6.2.

En relación al contrato en comento, no se consideran cláusulas sobre operaciones orientadas a:

• Plan de contingencia en caso de desastres y/o pérdidas de las comunicaciones. • Fechas de facturación de los servicios. • Asesoría técnica a proporcionar. • Confidencialidad de la información municipal. • Controles para asegurar la protección de la información, su respaldo y

administración contra software malicioso y third party software. • Restricciones de copiado y divulgación de información municipal. • Devolución o destrucción de la información y bienes, amparado por las

regulaciones legales y término de la relación contractual. • Especificaciones de los detalles técnicos por servicios entregados

En relación a lo señalado precedentemente, la autoridad municipal indica que aquellas relativas al plan de contingencia, asesoría técnica a proporcionar, controles para asegurar la protección de la información, respaldo, administración contra software malicioso de información y especificaciones de los detalles técnicos por servicios entregados, se encuentran descritas en las bases técnicas, en donde se indican aspectos generales.

Por otra parte, sobre las fechas de facturación de los servicios, el edil manifiesta que se describen en las bases administrativas.

Considerando lo expuesto por la autoridad comunal, conjuntamente con la documentación de respaldo, corresponde levantar las observaciones indicadas.

Sobre las restantes consideraciones, el edil expone que serán contempladas en futuras licitaciones, por lo tanto, procede mantenerlas.

3.- Marketing Relacional y Fidelización Ltda.

Mediante decreto alcaldicio EX N° 868, de 22 de abril de 2010, se adjudicó a la empresa Marketing Relacional y Fidelización Ltda., por medio de licitación pública, ID N° 2490-6-LP10, el "Desarrollo de software y base de datos integral Filemaker Pro para la gestión de la dirección de desarrollo comunitario de la Municipalidad de Providencia", siendo su tarificación la indicada en el cuadro adjunto, de acuerdo a los servicios entregados:



-19-

Servicio Detalle Valor UF con IVA

N° 1 - Adquisición de Servidor - Puesta en Marcha del Sistema

159,00

6,60 (Mensual)

N° 2 - Adquisición de Licencias 1 Server - 50 Licencias Filemarker

150,00

450,00

N° 3 Implementación, Desarrollo y Capacitación 4.912,00

N° 4 Mantención 112,00 (Mensual)

El contrato tiene una vigencia de 36 meses, renovable por única vez hasta por un máximo de 12 meses respecto al servicio N° 4, sobre mantenimiento, si ninguna de las partes manifiesta a la otra su intención de ponerle fin mediante carta a lo menos con 60 días de anticipación a la fecha de término de contrato.

El plazo de duración del servicio se cuenta desde la fecha de entrega en terreno, suscrita por la empresa y la inspección técnica del servicio, siendo el plazo de entrega del servicio N° 1 de 40 días corridos; del servicio N° 2, de 20 días corridos y; del servicio N° 3, clasificado por departamentos en meses.

La empresa hizo entrega de las boletas de garantías a nombre de la Municipalidad de Providencia, diferenciando cada una de ellas de acuerdo al servicio a implantar y en porcentajes equivalentes en el caso de los servicios N°s. 1, 2 y 3, de 5% del monto del contrato en ese segmento, ampliando su duración en 60 días por sobre la vigencia del mismo. Por otra parte, para el servicio N° 4, se estableció un monto del 5% del valor de dos mensualidades promedio, ampliando la vigencia hasta el término del contrato, más 60 días.

El detalle de las boletas por cada uno de los servicios es el siguiente:

- Boleta de garantía N° 0077325, del Banco Santander, por un monto de 7,95.- UF, con vencimiento al 31 de julio de 2010, por el servicio N° 1, sobre "Adquisición del servidor y puesta en marcha del sistema".

- Boleta de garantía N° 0077326, del Banco Santander, por un monto de 3,96.- UF, con vencimiento al 30 de junio de 2013, por el servicio N° 1, sobre "Mantención de Hardware".

- Boleta de garantía N° 0077327, del Banco Santander, por un monto de 22,50.- UF, con vencimiento al 31 de julio de 2010, por el servicio N° 2, sobre "Adquisición de Licencias".

- Boleta de garantía N° 0077328, del Banco Santander, por un monto de 101,00.- UF, con vencimiento al 31 de julio de 2011, por el servicio N° 3, sobre "Implementación, Desarrollo y Capacitación".

- Boleta de garantía N° 0077329, del Banco Santander, por un monto de 5,86.- UF, con vencimiento al 30 de julio de 2013, por el servicio N° 4, sobre "Mantención de Hardware".



- 20 -

Durante el período en estudio el municipio ha desembolsado la suma de $ 38.859.626.-, el detalle se señala en anexo N° 6.3.




regulaciones legales y término de la relación contractual. • Asesoría técnica a proporcionar por los sistemas administrativos. • Especificaciones de los detalles técnicos por servicios entregados.

El alcalde en su respuesta señala que, en relación a los controles para asegurar la protección de la información, respaldo y administración contra software malicioso de información, se encuentran descritos en las bases técnicas, en donde se indican aspectos generales.

Por otra parte, sobre la confidencialidad de la información Municipal, el edil indica que se describe en las bases administrativas.

Conforme a lo manifestado, conjuntamente con la documentación de respaldo suministrada, corresponde levantar las observaciones indicadas.

Sobre las restantes consideraciones, la autoridad municipal expone que serán evaluadas en las futuras licitaciones, por lo que procede mantener las observaciones a su respecto.

4.- Orion 2000 S.A.

Mediante decreto alcaldicio EX N° 2791, de 28 de diciembre de 2009, se adjudicó a la empresa mencionada, mediante licitación pública ID N° 2490-45-LE08, el "Servicio de correo electrónico para la Municipalidad de Providencia", siendo su tarificación la indicada en el cuadro adjunto, de acuerdo a los servicios.

Servicio de correo electrónico mensual.

Servicio Detalle Valor mensual

UF con IVA

Hosting para servidores web - 810 cuentas, compatibilidad clientes pop, webmail, calendario, tareas, eventos y movilidad.

115,43

- Soporte. 36,00



- 21 -

Servicios de Habilitación.

Servicio Detalle Valor UF sin IVA

Hosting de servicio de correo por única vez.

- Migración de correo, puesta en marcha, producción y migración funcional.

590,00

El contrato tiene una vigencia de 4 años, período que podría renovarse dos veces por un máximo de un año cada uno, si ninguna de las partes manifiesta a la otra su intención de ponerle fin mediante carta a lo menos con 90 días de anticipación a la fecha de término de contrato.

Asimismo, el contrato contempla que, en el evento de que el monto acumulado de las multas supere el 25% del valor del contrato, el municipio podrá poner término al contrato y hacer efectivas las garantías correspondientes.

La empresa hizo entrega de una boleta de garantía a nombre de la Municipalidad de Providencia, por cumplimiento del servicio contratado, equivalente a dos mensualidades por concepto de las cuentas de correo electrónico por 302,86 UF, N° 355566-4, del Banco de Chile, con vencimiento al 5 de enero de 2011. Sin embargo, se detectó la inexistencia de renovación de dicha garantía, incumpliendo el contrato en su cláusula N° 15, según la cual, la empresa contratista deberá entregar a la firma del contrato una garantía que resguarde el periodo de vigencia del contrato más dos meses adicionales al término del mismo; sin que se haya aclarado por qué se aceptó una garantía parcial respecto del tiempo de cobertura.

Sobre lo observado, la autoridad comunal en su respuesta adjunta la boleta de garantía N° 359799-1, del Banco de Chile, por 302,86 UF, con vencimiento al 5 de enero de 2012.

Sobre el particular, si bien esa entidad comunal renovó la garantía vencida, la actual no cubre la vigencia total del contrato, por lo que no permite levantar lo observado.

Para el período bajo examen, esa entidad informó que desembolsó la suma $ 54.117.270.-, pudiéndose acreditar $ 50.885.755.-, de acuerdo a los antecedentes suministrados por los servicios contratados, según comprobantes de pago, cuyo detalle se señalan en anexo N° 6.4.

Al respecto, el alcalde informa que la diferencia se produce en el cambio de año, cuando las últimas mensualidades se cargan a otra cuenta correspondiente a "Obligaciones Pendientes Años anteriores", situación que explica la diferencia, conforme lo cual, se entiende salvada la situación indicada.

En relación al contrato en comento, no se consideran cláusulas sobre operaciones orientadas a:

• Plan de contingencia en caso de desastres y/o pérdidas de las comunicaciones. • Fechas de facturación de los servicios. • Asesoría técnica a proporcionar.



- 22 -


administración contra software malicioso y third party software. • Restricciones de copiado y divulgación de información municipal. • Devolución o destrucción de la información y bienes, amparado por las

regulaciones legales y término de la relación contractual. • Especificaciones de los detalles técnicos por servicios entregados.

Sobre lo anterior, la autoridad municipal señala que, respecto a los controles para asegurar la protección de la información, respaldo, administración contra software malicioso de información, plan de contingencia en caso de desastres y/o pérdidas de las comunicaciones, asesoría técnica a proporcionar y especificaciones de los detalles técnicos por servicios entregados, ello se encuentra descrito en las bases técnicas, aspectos generales.

Por otra parte, sobre la confidencialidad de la información municipal y fechas de facturación de los servicios, el alcalde indica que ellas se describen en las bases administrativas.

En atención a lo señalado y a la documentación proporcionada, corresponde levantar las observaciones indicadas.

Sobre las restantes consideraciones, la autoridad municipal manifiesta que serán evaluadas en las futuras licitaciones, por lo que procede mantener la observación en esta parte.

5.- Suministra S.A.

Mediante decreto alcaldicio EX N° 348, de 16 de febrero de 2009, se adjudicó a la empresa Suministra S.A., por medio de licitación pública, ID N° 2490-11035-LP08, el contrato denominado "Renovación tecnológica de computadores, servicio de mesa de ayuda y respaldo de información de usuarios para la Municipalidad de Providencia", siendo su tarificación la indicada en los cuadros adjuntos, en relación a la adquisición de equipos computacionales y el servicio de mesa de ayuda.

La adquisición de equipos computacionales se pactó por un período de 36 meses, indicándose que, por cada año, se adquirirán los computadores de acuerdo a lo señalado en la columna "detalle por año" del cuadro siguiente:

Servicio Detalle por año Valor unitario

en US$ (IVA incluido) Adquisición de computador

Lenovo Atención de público y

administrativos, 200 equipos por año.

1.250

Adquisición de computador Lenovo

Arquitectos y diseños, 60 equipos por año. 1.990

Adquisición de notebook Lenovo

10 equipos por año. 1.624

La contratación del servicio de mesa de ayuda es por un período de 36 meses con valores tarificados en forma mensual.



- 23 -

Servicio Detalle Valor Mensual (IVA incluido)

Técnicos en terreno. Atención telefónica, ingresos y atención de incidentes,

soporte de hardware, software y otros.

Generación y gestión de tickets, manejo de inventario,

base de datos de conocimiento, control remoto

de usuarios y otros.

5.661.481

1.160.652

Software de mesa de ayuda.

La vigencia del contrato podrá renovarse dos veces, hasta por un máximo de 12 meses cada una, si ninguna de las partes manifiesta a la otra su intención de ponerle fin mediante carta a lo menos con 60 días de anticipación a la fecha de término de contrato. Asimismo, el valor se reajustará semestralmente, de acuerdo a la variación acumulada del IPC que determine el Instituto Nacional de Estadística, INE, usando como base el mes anterior al de la firma de contrato.

En cuanto al plazo del suministro del servicio, éste se inició a contar desde la notificación del decreto de adjudicación, el que quedó estipulado en el libro de servicios, siendo suscrito entre la empresa contratista y el inspector técnico de servicio municipal.

La empresa, según contrato deberá hacer entrega de dos garantías a nombre de la Municipalidad de Providencia por un monto equivalente a $ 5.000.000.-, en relación al servicio adquisición de equipamiento computacional y dos mensualidades correspondientes al valor total mensual del servicio de mesa de ayuda, la que se reajustará anualmente de acuerdo a la variación con una vigencia igual a la del contrato más 60 días, documentos que no fueron puestos a disposición de esta Entidad Fiscalizadora.

En su respuesta, la autoridad adjunta las boletas de garantía N°s 79.925, por $ 13.885.332.-, y 79.924, por $ 5.000.000.-, ambas del Banco BBVA, todas con vencimiento al 30 de abril de 2012.

Examinados los nuevos antecedentes proporcionados por ese municipio, se levanta la observación planteada inicialmente.

Para el período bajo examen, esa entidad informó que desembolsó la suma $ 314.644.474.-, pudiéndose acreditar $ 242.565.944.-, de acuerdo a los antecedentes suministrados por ese municipio. El detalle de los decretos de pago se indica en anexo N° 6.5.

Sobre lo anterior, el alcalde señala que la diferencia informada se produce por el cambio de año, cuando las últimas mensualidades se cargan a otra cuenta correspondiente a "Obligaciones Pendientes Años anteriores", situación que explica la diferencia.

Dado que ese municipio adjuntó los antecedentes que acreditan lo informado, se levanta la observación enunciada.




- 24 -

• Controles para asegurar la protección de la información, su respaldo y administración contra software malicioso y third party software.

• Restricciones de copiado y divulgación de información municipal. • Plan de contingencias para accesos indebidos, siniestros físicos y lógicos. • Devolución o destrucción de la información y bienes, amparado por las

regulaciones legales y término de la relación contractual. • Especificaciones de los detalles técnicos por servicios entregados. • Disposiciones para informar, notificar e investigar los incidentes y las

violaciones a la seguridad.

Respecto a las cláusulas por contrato, el alcalde indica que aquellas relacionadas con los controles para asegurar la protección de la información, respaldo, administración contra software malicioso de información y especificaciones de los detalles técnicos por servicios entregados, se encuentran descritas en el anexo N° 7, de las bases técnicas, en donde se indican aspectos generales. Por lo tanto, corresponde levantar las observaciones indicadas.

Sobre las restantes consideraciones, la autoridad comunal manifiesta que serán evaluadas en las futuras licitaciones, por lo que procede mantenerlas.

6.- Sistemas Modulares de Computación Ltda.

Mediante decreto alcaldicio EX. N° 824, de 19 de abril de 2010, se adjudicó a la empresa Sistemas Modulares de Computación Ltda., por medio de licitación pública, ID N° 2460-17-LE10, la prestación de los servicios de los "Sistemas computacionales para la dirección de administración y finanzas de la Municipalidad de Providencia con un profesional de apoyo permanente", siendo su tarificación la indicada en el cuadro adjunto.

Modalidad Módulos Valor

mensual UF con IVA

Operación de Sistemas

Finanzas 54,74

Administración 8,33

Bienestar 11,90

Recursos Humanos 24,99

Rentas 24.99

Aseo y Ornato 1,19

Capacitación Todos 59,50

Total 160,65

La vigencia del contrato se encuentra definida por un plazo de 4 años, renovable por períodos de un año, con un máximo de dos renovaciones, si ninguna de las partes manifiesta a la otra su intención de ponerle término mediante carta certificada enviada a lo menos 150 días antes de la fecha de término del plazo convenido o de la prórroga que se encuentre vigente. El plazo de duración del servicio se cuenta desde la fecha de entrega de terreno, suscrita por la empresa, la unidad supervisora y la dirección de administración y finanzas.



- 25 -

Para el fiel cumplimiento del servicio se hizo entrega de una boleta de garantía N° 3404838, del Banco Estado, por un monto de 371,28.- UF, con vencimiento al 1 de octubre de 2014.

Adicionalmente, a fin de garantizar indemnizaciones a consecuencia de accidentes del trabajo que sufran dependientes de la empresa contratista, se hizo entrega de una segunda boleta de garantía N° 3404837, del Banco Estado, por un monto de 119,00 UF, con vencimiento al 1 de octubre de 2015.

Por otra parte, el municipio no proporcionó los comprobantes de egresos que acreditaran los desembolsos efectuados durante el período en revisión.

El alcalde en su respuesta señala que, durante el período bajo examen, esa entidad comunal no efectuó desembolsos por los servicios contratados.

Atendido lo señalado, y considerando los antecedentes de respaldo que acreditan lo manifestado, corresponde levantar lo observado.




regulaciones legales y término de la relación contractual. • Asesoría técnica a proporcionar por los sistemas administrativos. • Especificaciones de los detalles técnicos por servicios entregados.

Sobre lo anterior, el alcalde en su respuesta señala que, respecto a las observaciones relativas a los controles para asegurar la protección de la información, respaldo, administración contra software malicioso de información, restricciones de copiado, divulgación de información municipal y especificaciones de los detalles técnicos por servicios entregados para este contrato, se encuentran descritas en las bases técnicas, en donde se indican aspectos generales.

Por otra parte, sobre la confidencialidad de la información municipal, el edil indica que éstas se describen en las bases administrativas.

Considerando lo señalado y a los antecedentes remitidos por el municipio, corresponde levantar las observaciones indicadas precedentemente.

Sobre las restantes consideraciones, la autoridad municipal expone que serán evaluadas en las futuras licitaciones, por lo que procede mantenerlas.



- 26 -

IV.- CONTROLES GENERALES ASOCIADOS AL ENTORNO TI

1.- Controles generales de tecnologías de información.

a) La auditoría practicada comprobó que los controles asociados a las tecnologías de información no cumplen a cabalidad con el resguardo de información, debido a que el perfilamiento en los accesos posee diferentes asignaciones de permisos, a pesar de estar éste estructurado y asignado por el administrador de los sistemas municipales, generando un constante incremento en los tipos de cuentas que acceden a los sistemas administrativos y, a su vez, pudiendo permitir el acceso de personas no autorizadas a los atributos de lectura, grabación, emisión, impresión y otros, respecto de procesos informatizados que involucran datos sensibles que administra esa entidad edilicia.

Sobre la materia, el alcalde informa que la definición de los perfiles de acceso no es asignada ni estructurada por el administrador de sistemas, por lo que cada unidad dueña de éste informa de los permisos requeridos y de las bajas, las cuales son realizadas por los respectivos encargados del área de sistemas.

Dado que la autoridad municipal no adjunta documentación que acredite la formalización del procedimiento descrito, corresponde mantener la observación, ya que el proceso de perfilamiento de accesos no se encuentra regulado íntegramente.

b) Se comprobó que no existen procedimientos de encriptación de la información a nivel de respaldos municipales.

En la respuesta se indica que la encriptación de los respaldos para las estaciones de trabajo, se realiza a través del software AutoBackup, el cual es encriptado mínimo por 128 bit, siendo éstos subidos a un almacén de datos por medio de un enlace dedicado.

Al tenor de lo expuesto por esa autoridad y los antecedentes que se acompañan, es posible acreditar la existencia del proceso descrito, por lo que se levanta la observación planteada.

c) A nivel municipal, existe un procedimiento de retención de la información respaldada por cada servidor municipal con una periodicidad definida de acuerdo a las operaciones, sin embargo, éste no se encuentra formalizado a través de un decreto alcaldicio.

El alcalde en su respuesta señala que, esa entidad cuenta con un instructivo de respaldo de la información denominado P-ES-023, formalizado por decreto Ex. N° 2.010, de 27 de octubre de 2010.

En atención a la documentación proporcionada en esta oportunidad, corresponde levantar lo observado.

d) En relación al mantenimiento preventivo, se acreditó que este servicio se encuentra asignado a personal interno del departamento mediante roles de función, sin embargo, a pesar de encontrarse documentado para el hardware, servidores de respaldo, sala de servidores, rack y equipos de comunicaciones, no se encuentra formalizado, Asimismo, la empresa Global Crossing Chile S.A., define por medio de un manual de operaciones las



- 27 -

mantenciones a sus servicios y condiciones mínimas de operación a nivel de datacenter municipal para la interacción con sus servidores, políticas que no se encontraban operativas durante el período en revisión.

Por otra parte, el servicio de soporte se encuentra externalizado a una empresa para atender al personal municipal en relación a materias de carácter informático y de comunicaciones, por medio de un sistema informático de ticket consola, a fin de asignar un número de caso, fecha de apertura, tipo de incidente, identificación del recurrente, estado y duración.

Sobre lo señalado en las letras c) y d), en lo que dicen relación con la formalización de los manuales de mantenimiento preventivo, cabe precisar que el artículo 3° de la ley N° 19.880, que establece Bases de los Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado, establece que se entiende por acto administrativo las decisiones formales que emitan dichos órganos, en los cuales se contienen declaraciones de voluntad, realizadas en el ejercicio de una potestad pública y que éstos tomarán la forma de decretos supremos y de resoluciones. Ello resulta concordante con el artículo 12 de la ley N° 18.695, Orgánica Constitucional de Municipalidades, en orden a que las resoluciones que adopten estas últimas se denominan decretos cuando versen sobre casos particulares.

En este sentido, es oportuno destacar que, según lo ha reconocido la jurisprudencia administrativa -contenida en los dictámenes N°s. 31.870, de 2010 y 10.449, de 2011, entre otros- en armonía con el principio de escrituración que rige a los actos de la Administración del Estado, consagrado en el artículo 5° de la citada ley N° 19.880, las decisiones que adopten las municipalidades deben materializarse en un documento escrito y aprobarse mediante decreto alcaldicio, por lo que la expresión formal de la voluntad de la entidad edilicia, sólo puede perfeccionarse con la expedición del respectivo acto administrativo, siendo éste el que produce el efecto de obligar al municipio conforme a la ley.

En su respuesta, el alcalde indica que el mantenimiento de los computadores personales lo realiza la empresa Suministra S.A., a las redes y equipos de comunicaciones la empresa Newtec S.A., y a los servidores municipales por medio de personal municipal. Asimismo, los servicios de hosting, por encontrarse en modalidad de arriendo, cuentan con las mantenciones propias a la infraestructura común del Datacenter.

Si bien los argumentos planteados por la autoridad comunal resultan pertinentes, la respuesta no aporta antecedentes que acrediten la formalización de los procesos de mantenimiento y revisión de la plataforma informática, por lo que procede mantener la observación.

e) El secretario comunal de planificación señaló, mediante oficio N° 1.447 de 4 de febrero de 2011, que las políticas de adquisición de licencias de software se definen de acuerdo a la línea de servicio dentro del municipio, es decir, si corresponde a servidores, aplicaciones de oficina, sistemas de gestión o herramientas de desarrollo. Por ende, la adquisición de licencias para servidores se puede realizar a través de la compra por medio del portal Mercado Público o uso de licencias tipo opensource, asimismo, para los servidores en hosting, el contrato de servicio debe proveer las licencias válidas para su operación.

Por otra parte, para las adquisiciones de equipamiento computacional se incluyen licencias de sistema operativo y aplicaciones



- 28 -

de oficina como la suite Microsoft Office, en procesos de renovación anual o a solicitud de directores municipales. De la misma forma, en los casos que exista un software de uso libre se procede a instalar, configurar y capacitar.

Referente a las licencias de sistemas de software de uso específico, son adquiridas a requerimiento del director de la unidad, justificando la necesidad de uso y realizando la compra por medio del portal Mercado Público.

Por otra parte, en cuanto a las herramientas de desarrollo, el departamento de computación e informática debe adquirir licencias de ser necesario que éste lleve a cabo el desarrollo de aplicaciones para el municipio. No obstante, existe la posibilidad de que las empresas deban proveer por contrato las licencias de software de desarrollo utilizadas para la implantación de los sistemas requeridos a solicitud de alguna dirección municipal.

En lo referente a las licencias de software, el alcalde señala que el servicio de hosting actualmente contratado, provee en su costo mensual las licencias de servidor, sin embargo, las de los nuevos equipos están incluidas en la renovación de los años 2009, 2010 y 2011. Por otra parte, respecto a las licencias de Ofimática, éstas se adquieren año a año.

Considerando que ese municipio no informa la adopción de medidas tendientes a regularizar el licenciamiento del software indicado, ni tampoco remite los antecedentes que avalen acciones a realizar, se mantiene la observación formulada inicialmente.

f) En cuanto a la vulnerabilidad de las redes municipales, se dispone de los siguientes elementos para salvaguardarlas:

• Firewall Fortinet que incluye anti-spam, filtro de contenido, detección de intrusos IDS, IPS, aplicación de control, prevención de pérdida de datos, optimización de red WAN, VPN, actualización automática y alerta de eventos críticos vía email. • Sistema de reporte, análisis e ingreso a la red en tiempo real, Fortianalizer 800B. • Consola de administración Kaspersky del servidor de antivirus.

g) De acuerdo a las validaciones efectuadas se corroboró que el procedimiento utilizado para el control de stock consiste en externalizar los servicios tecnológicos, incorporando en las bases de licitación el suministro de los servicios, insumos y operaciones por parte de la empresa proveedora.

Para insumos diarios se dispone de un stock mínimo, de acuerdo al análisis de la demanda histórica de consumo de las unidades municipales.

h) En relación a la normativa de seguridad de sistema de control de acceso y certificación de instalaciones de la sala de servidores, se detalla a continuación la informada por medio de los oficios N° 1.447, ya citado y N° 1.828, de 8 de marzo de 2011, corroborada en la fiscalización realizada en terreno.



-29-

• Existe un procedimiento de control de acceso para personal externo a la sala de servidores, el cual no se encuentra formalizado.

• Existe un registro de personal interno o externo al datacenter, cuando se efectúa retiro de suministros, modificaciones o revisiones de servicios informáticos y mantenimiento de equipamiento.

• El ingreso de personal se encuentra controlado por una cámara IP, la cual almacena con imágenes los movimientos detectados en el datacenter, sin embargo, no se encuentra asignada la actividad de revisión de imágenes, con el fin de evaluar anomalías.

• La sala de servidores cuenta con un programa mensual de mantención eléctrica, realizada por la unidad de servicios generales del municipio y que incluye la iluminación instalada en esa dependencia.

• Las unidades de aire acondicionado se encuentran con las mantenciones preventivas realizadas por una empresa externa, asimismo, los dos equipos tipo split murales de marcas Westpoint y Panasonic de 12.000 btu/h junto al equipo de ventana marca Westpoint de 18.000 btu/h, se encuentran en funcionamiento con presión de refrigerante y temperatura de inyección dentro de los rangos normales.

• Dentro de la sala de servidores, no existen extintores ante contingencia. Sin embargo, en la planta del segundo piso de la secretaria comunal de planificación, se encuentran un par de equipos de protección contra incendios adosados al muro del pasillo principal, con la señalética y planos de evacuación dispuestos de acuerdo a la normativa legal aplicable en el decreto supremo N° 594 de 1999 del Ministerio de Salud. Además, se revisó la documentación relativa al catastro y nómina de mantención de extintores junto a los planos de evacuación de las unidades municipales.

• Se verificó la existencia de sensores tanto de humo como de humedad al interior de la sala de servidores.

• Los paneles murales de vidrio no cuentan con protección calórica ni certificación.

En su respuesta, el alcalde informa, en síntesis, que el departamento de computación e informática municipal, elaborará un procedimiento considerando los aspectos observados, que posteriormente será formalizado.

En atención a que esa autoridad comunal no acompañó documentación que acredite las medidas que informa y que el procedimiento que enuncia no ha sido sancionado formalmente, no es posible salvar la situación advertida.

i) Analizados los procedimientos de asignación, modificación y eliminación de perfiles de acceso y atributos para el uso de sistemas administrativos utilizados por parte del personal municipal, se determinó que consisten principalmente en acciones de creación de perfiles de usuarios por grupos a los cuales pertenece un funcionario; además, si procede, un funcionario puede pertenecer a más de un perfil dentro de un sistema o varios sistemas. En relación a lo anterior, la asignación puede ser realizada por personal municipal del departamento de computación e informática para módulos de software de las empresas Act Ltda., Proexsi Ltda., e Insico S.A., no así para los sistemas que son de propiedad de la empresa Sistemas Modulares de Computación Ltda., los cuales son administrados por un profesional asignado en forma permanente por ella en el municipio y regulado a través del respectivo contrato de servicios.

"14t 64' CONTRALORÍA GENERAL DE LA REPÚBLICA 3


ÁREA AUDITORÍA 1 - 30 -

j) Se corroboró la existencia de una bitácora en uso, que registra las acciones e incidentes relacionados con las operaciones de los servidores, sistemas, equipos de comunicación y mantenciones tanto preventivas como correctivas. El formato usado corresponde a una plantilla, donde se destacan datos relevantes sobre identificador del registro, fecha, hora, equipamiento afectado, dependencia, motivo, tipo de acción ejecutada, solución y sistemas afectados.

1.1.- Inventario de equipamiento informático.

Se practicó una revisión del inventario de activos informáticos, tecnológicos y de telecomunicaciones, proporcionado por el secretario comunal de planificación mediante oficio N° 1.447, ya señalado, aplicándose el sistema de muestreo aleatorio que, recurriendo a parámetros del 90% de confianza, 4% de precisión y una tasa de error del 5%, determinó una muestra de 174 equipos, lo que representa un 7,48%, de un total de 2.327 equipos, el detalle se indica en anexo N° 7.

Efectuadas verificaciones en terreno, se pudo constatar las siguientes situaciones:

a) 46 equipos computacionales no existen en el lugar asignado por nómina de inventario de activos informáticos actualizada a febrero de 2011, lo que equivale al 26,44%, el detalle consta en anexo N° 8.

En su respuesta, el jefe comunal señala que los equipos que no figuran en la nómina de inventario o presentan inconsistencia en sus datos, ello se debe a un proceso de redistribución tanto en forma interna como externa; así, algunos equipos han sido dados de baja, reemplazados por cambios de infraestructura o enviados a bodega por falta de uso.

De acuerdo a lo expresado y a la documentación proporcionada, así como las validaciones realizadas, corresponde levantar la observación formulada inicialmente.

b) Se determinó un total de 6 equipos que no pudieron ser revisados, las razones se encuentran detalladas en anexo N° 8.

El edil en su respuesta corrobora lo observado, agregando que los usuarios al momento de la revisión no se encontraban en sus oficinas.

Sobre el particular, teniendo en consideración la documentación de respaldo de entrega y recepción de equipamiento informático, procede salvar la observación formulada.

c) Se detectaron 2 equipos computacionales sin número de inventario, anexo N° 8.

Sobre lo anterior, la autoridad comunal informa que uno de los equipos se debe confirmar con documentación existente en bodega externa, por lo que no se cuenta con la información.

<_\j



- 31 -

En atención a que no se acompañó documentación que acredite la identificación de los equipos, no es posible salvar la situación advertida.

d) Ninguno de los equipos revisados contaba con sellos de seguridad, lo que equivale al 100%.

En su respuesta, el alcalde corrobora lo observado, sin embargo señala que, desde el año 2009, los nuevos equipos estacionarios y móviles cuentan con candado de seguridad, no obstante lo anterior, se evaluará la compra de sellos y su implantación para el resto de los equipos como segunda medida.

Dado que la autoridad municipal no presentó documentación que acredite la implantación de la medida de resguardo de componentes informáticos, procede mantener la observación.

1.2.- Carencia de licencias.

El municipio cumple parcialmente con el licenciamiento de la plataforma de aplicaciones de oficina Microsoft Office en sus versiones XP, 2000, 2003, 2007 y 2010, así como la de la aplicación de antivirus Kaspersky producto Business Space Security, para estaciones de trabajo y servidores de archivos.

De un total de 960 equipos computacionales a nivel municipal que requieren licencia, 916 son estaciones de trabajo, 32 notebook y 12 servidores de respaldo, seguridad y operaciones. Lo anterior, fue informado por el secretario comunal de planificación, mediante oficio N° 1.448, ya mencionado.

En lo que respecta a licencias de aplicaciones de Microsoft Office que se encuentran en funcionamiento, se informa que del total de computadores de escritorio y notebook, que equivalen a 916 equipos, el 96,66% posee licencia vigente, restando 49 equipos sin licencia válida.

Al respecto, la autoridad en su respuesta no se pronuncia, ni adjunta antecedentes de respaldo sobre el licenciamiento de la aplicación Microsoft Office en 49 equipos, por lo que corresponde mantener lo observado.

Los 960 equipos de propiedad del municipio, que incluyen equipos estacionarios, notebook y servidores, poseen en su totalidad licencias de sistema operativo vigente.

Adicionalmente, se verificó que los 2 equipos que cuentan con la aplicación de base de datos SQL Server poseen licencia regularizada.

De los 960 equipos computacionales, el 93,75% posee licencia vigente de antivirus Kaspersky Business Space Security, no encontrándose regularizados 60 equipos.

El detalle de los 960 equipos activos en la plataforma, los software instalados por equipo y las licencias que se encuentran certificadas, se contiene en anexo N° 9, el que utiliza el formato de descripción X/N, indicando la X el tipo de software usado y la N la cantidad de equipos con licencia.



- 32 -

A continuación se presenta un detalle pormenorizado de las licencias activas municipales y, en forma complementaria, aquellas que han sido suministradas por los proveedores en relación a los contratos informáticos vigentes de los servicios contratados:

Descripción de licencia Cantidad

Alexandria Server (Biblioteca municipal) 1

Adobe Page Mill 2.0.1 2

Adobe Acrobat 3.0 Usuario 2

Adobe Acrobat 3.0 Servidor 3

Adobe Acrobat 6.0 Professional 1

Adobe Photoshop CS2 9.0 13 Arclms 1

ArcView ( catastro) 4

ArcView 3.3 (Seguridad Vecinal) 1

ArcView Upgrade 9.0 (Aseo y Ornato) 1

Autocad LT 2004 10

Autocad LT 2005 2

Autocad LT 2006 2

Autocad LT 2000 20

Autocad 2006 2

Autodesk Architectural desktop 2007 2

3D Max 7 2

Autodesk Map 3D 2006 2

Autodesk Map 3D 2007 1 Autocad Land 2005 5 Autocad R.14 5 Autodesk Dwf Componer 24 Kaspersky BusinessSpace Security 860 Kaspersky BusinessSpace Security 40 Macromedia Dreamweaver Mx 2004 10 Macromedia freehand 8 10 Macromedia Studio Mx 2004 3 Max OS X 1 Mac OS X Server 1 Omnipeek Enterprise 1 Office 2000 77 Office XP PRO 86 Office 2003 19 Office 2007 Government OPEN No Level 133 Office 2007 Government OPEN 1 License No Level 30 Office 2010 Government OPEN 1 License No Level 130 Office 2007 Government OPEN 1 License No Level 30 Project 2003 1 Pruebas Psicométricas Test 1.3 1 Publisher 97 1 SQL Server 2000 1



-33-

Descripción de licencia Cantidad SQL Server 7.0 1 SQL Server Standard Edition 2005 Win32 Government Open No Level

1

SQL CAL 2005 Government OPEN No Level User CAL 25 Delphi 5.0 Professional 1 Visual Basic 6.0 prof. 2 Visual interdev prof. 6.0 1 Win XP 460 Win XP Pro 149 Win 2000 56 Windows Small Busines Server CAL 2003 No Level User CAL 2 Windows Small Busines Server Standard 2003 R2 Government OPEN No Level 5 Client

1

Windows Server 2003 Std 5 Clt 1 Windows 2000 Server 1 Design Premium CS3 3.3 MAC (Design Premium, Fireworks y Acrobat Professional

1

Indul Triple Pack (Minerva, Insul y Zorga para mediciones de ruido) 1 Freehand 11.0 MAC 1 Filemaker Server Advance 10 1 Filemaker Pro 11 Advance 50

Se verificó la adquisición de licencias en el año 2010, que se detallan a continuación:

Fecha Id Chilecompra

Orden Compra

Software Cantidad Proveedor

Marzo Convenio

Marco N°308132

2460- 317-

CM10

Office Standard 2007 OLP NL

GOVT 30 Intergrade S.A.

Abril 2490-14-LE10 2490-17-

SE10


GOVT 100

Comercializadora Telenet Ltda.

Mayo Proveedor

único

2490- 453- SE10

Alexandria V5, Windows Suite

Licence 1 Donoso y

Vergara Ltda.

Diciembre 2490-37-LE10 2490-2- SE11


GOVT 30 Soc PCCorp

El alcalde en su respuesta señala que, en relación con las 60 licencias de antivirus Kaspersky no regularizadas, el municipio cuenta con licenciamiento adicional de 90 licencias, lo que cubre la demanda actual, lo anterior, en base a la cantidad de las 900 licencias adquiridas.

Considerando que ese municipio informa las medidas tendientes a regularizar los hechos cuestionados respecto a la ausencia de 60 licencias de antivirus de seguridad Kaspersky, se salva la observación formulada inicialmente.



-34-

2. - Seguridad física.

Para efectos de validar la seguridad física se efectuó una visita a la sala de servidores municipales, lo que permitió comprobar lo siguiente:

a) En la dependencia de la sala de servidores, en áreas de circulación y en estantes, se encuentran partes, piezas y equipamiento computacional, lo que puede provocar accidentes y/o problemas de operación en los equipos críticos, ver anexo N° 10.

b) Existe equipamiento computacional embalado y otros bienes municipales, usando la dependencia del Datacenter como bodega. Por otra parte, no se cuenta con inventario pormenorizado de los accesorios, ver anexo N° 10.

En relación a las letras a) y b), la autoridad comunal corrobora lo observado precedentemente, señalando que las situaciones observadas se presentaron a mediados del año 2009, debido a la reestructuración y obras de mejoramiento de oficinas de la secretaría comunal de planificación, agregando que actualmente se encuentra habilitada una bodega con acceso controlado y con inventario actualizado, para el departamento de computación.

De acuerdo a lo expresado por esa autoridad comunal, y a las verificaciones efectuadas, procede levantar lo observado.

c) Al interior de la sala de servidores no se utilizan abrazaderas de cables de red y eléctricos, con la finalidad de minimizar el tendido en el piso y organizar las conexiones en la parte posterior de los racks.

d) A nivel general, la dependencia no cuenta con aseo programado de su equipamiento y en las áreas comunes.

e) Se aprecia que los racks de comunicaciones no se encuentran cerrados bajo llave, con la finalidad de evitar manipulación de los cables de conexión.

Respecto a las letras c), d) y e), el alcalde en su respuesta señala que se procederá a reordenar internamente la sala de servidores, elaborándose un plan de mantenimiento general de éste, manteniéndose. además, las puertas de los rack cerrados para evitar manipulación de los cables.

Considerando que ese municipio informa la adopción de futuras medidas tendientes a regularizar los hechos cuestionados, pero no adjunta los antecedentes que avalen las acciones informadas, se mantiene la observación.

f) Se detectó la existencia de un tablero eléctrico diferencial, el cual no cuenta con chapa de cierre, vulnerando la seguridad e incrementando los riesgos en relación a las operaciones relacionadas con el suministro de energía eléctrica.

Al respecto, el edil informa que se procedió a revisar los tableros y las chapas de seguridad, determinándose que se encuentran en buen estado, no obstante, se tomarán medidas de resguardo mediante un procedimiento de acceso para regular el ingreso a sala de servidores.

Sin perjuicio de lo anterior, y de acuerdo a validación efectuada, debe mantenerse la objeción planteada en el presente literal, por



- 35 -

cuanto lo manifestado por esa autoridad no desvirtúa la situación advertida, en relación a que las chapas no cuentan con llave.

g) La puerta de acceso a la sala de servidores presenta una chapa de seguridad simple que se encuentra operativa, sin embargo, la barra interior para trabar la puerta a nivel inferior no se encuentra operativa, manteniéndose abierta.

El alcalde en su respuesta corrobora lo observado, señalando que la puerta de acceso a la sala de servidores no cuenta con seguridad adicional, asimismo, en relación a la barra interior de cierre, se solicitará su reparación.

En atención a que no se acompaña documentación que acredite la reparación de la puerta de acceso, no es posible salvar la situación advertida.

h) La luminaria existente al interior de la sala de servidores es deficiente en cuanto a cantidad e intensidad.

La autoridad en su respuesta corrobora lo observado, señalando que solicitará mejorar la luminaria de la sala de servidores.

Considerando que la respuesta no fue acompañada de documentación que acredite la mejora informada, corresponde mantener la situación advertida.

i) Se observa la ausencia de canaletas Legrand en algunas áreas, que tienen por finalidad cubrir el cableado de datos y comunicaciones. Además, se encuentran partes y piezas en desuso, ver anexo N° 10.

El alcalde en su respuesta indica que, solicitará regularizar la inclusión de canaletas Legrand para cubrir el cableado, ahora bien, en cuanto a las partes y piezas en desuso, ésta fue regularizada.

Las validaciones practicadas tras la respuesta verificaron que las modificaciones no se han realizado, por lo que corresponde mantener lo observado.

El cableado de los servidores y periféricos no se encuentra distribuido y nombrado de acuerdo a las normas vigentes.

Sobre el particular, la autoridad en su respuesta no se pronuncia, por lo que corresponde mantener la observación.

k) Algunos servidores no están etiquetados con nombre y función.

Al respecto, el alcalde en su respuesta, señala que se implementará un nuevo etiquetado más layout en puerta de cada rack de servidores y equipos de comunicación.

Sobre el particular, teniendo en consideración que no se acompaña documentación que acredite la regularización efectuada, corresponde mantener lo observado.

I) La sala de servidores no se encuentra cerrada perimetralmente por muros sólidos, asimismo, la mampara de vidrio existente es una estructura de



-36-

aluminio, la cual no posee propiedades de aislación calórica, vulnerando la seguridad y las condiciones de temperatura ambiental.

m) Se cuenta con sensores de humo y humedad para minimizar riesgos de incendio y deterioro en el equipamiento. Sin embargo, el sensor de humedad, no está correctamente instalado, debido que los cables cuelgan del cielo falso y se sostiene en el rack para su conexión a un equipo de control mediante software.

n) Al interior de la sala de servidores no existe extintor móvil vigente. La falta de señalética e incorrecta localización impide un fácil acceso a los equipos contra incendios dispuestos en el pasillo contiguo al datacenter, en caso de requerirse su uso.

o) Se aprecian tres unidades de aire acondicionado que mantienen los equipos operando, encontrándose con las mantenciones al día, según verificación realizada.

ID) No existe un sistema de control de acceso automático al Datacenter. Además, no se efectúa un registro del personal que presta servicios externos y las mantenciones que realizan.

q) No está separado el cableado usuario con cableado de puntos de acceso y backbone de fibras.

r) Se advierte el uso de alargadores de corriente tipo zapatillas sin reguladores de voltaje, ubicados en racks, vulnerando la seguridad de las operaciones informáticas y equipamiento computacional.

s) Las unidades de UPS se encuentran sin mantenimiento.

El alcalde señala que los equipos UPS se encuentran en proceso de renovación, existiendo una licitación en el portal Mercado Público con ID 2490-8-LE11, en atención a lo cual y conforme las verificaciones efectuadas en el portal Mercado Público, corresponde levantar lo observado.

t) A nivel de suelo se detectó un servidor sin uso ni inventariado.

En su respuesta, el alcalde corrobora lo observado, haciendo presente que el servidor fue instalado y montado en el rack, encontrándose éste, a la fecha, con su respectiva placa de inventario.

Sobre el particular, teniendo en consideración que se acompaña documentación que acredita la regularización efectuada, corresponde levantar lo observado.

u) Se aprecia un interruptor de apertura de puerta desde el interior ubicado en la mampara de acceso, lo cual vulnera la seguridad debido a la fácil manipulación desde el exterior.

y) La chapa de conexión existente entre el Datacenter y la oficina de operaciones se encontraba abierta al momento de revisión.

w) La parte posterior del Datacenter se encuentra constituida por una mampara de madera y vidrios comunes sin aislación, afectando por la tarde el sol que



-37-

ingresa por ese sector y su acumulación de calor, al no tener propiedades aislantes.

x) De una muestra de 83 puntos de red CAT5/5E/6 con tasa de transferencia de datos 100/1000 mbps, se determinó que 70 puntos se encuentran operativos, lo que representa el 84,33% de la muestra. No obstante, de los 13 restantes, se detectó que 5 se encuentran sin testeo, lo que representa al 6%, y que 8 puntos de red presentan fallas en la transferencia, equivalente a un 9,64% del total.

Cabe señalar que la empresa Newtec Ltda., figura como la certificadora de las conexiones a nivel municipal, con reportes detallados que contemplan localidad, tipo de cable, longitud y tasa de transferencia.

Con respecto a las letras I), m), n), p), r), u), w) y x), el edil informa que existe un estudio que determinó que el cumplimiento de normas para la sala de servidores, podría alcanzar un monto aproximado de $ 50.000.000.-, el cual fue fijado como máximo para solicitar presupuesto en relación a los años 2010 y 2011, sin embargo, para ambos años no se aprobó dicho monto como nuevo ítem de infraestructura.

Sobre el particular, corresponde señalar que la respuesta no incluye detalles del estudio ni datos atingentes al presupuesto de los citados años, por lo tanto, se mantiene lo observado inicialmente.

Por otra parte, la autoridad no informa sobre las letras q) y v), situación que determina que se mantengan las observaciones sobre separación de cableado de datos y seguridad de dependencias de informática.

3.- Procedimientos de respaldo.

Efectuada una revisión a la sala de servidores del municipio, con el fin de validar los respaldos de información, se pudo comprobar lo siguiente:

Observaciones a procedimientos de respaldo:

■ No existe un responsable único de los respaldos.

• Los dispositivos de respaldo no se prueban regularmente, para asegurar que puedan ser de utilidad en una emergencia.

En relación con lo observado, el alcalde señala que la sala de servidores municipales no contempla dispositivos específicos de respaldo, dado que ellos son dirigidos a discos de servidores ubicados en el Datacenter del servicio de hosting. Del mismo modo, en el momento de requerir una restauración, estos respaldos son solicitados a la unidad de operaciones del servicio de hosting contratado.

Sobre el particular, es preciso señalar que la observación se refiere a la existencia de un encargado municipal que administre el proceso de respaldo, independientemente de si éste se efectúa directo a los discos del servidor de la empresa proveedora; al igual que en el caso de las pruebas sobre

! los respaldos, por lo que, al no existir ambas asignaciones, procede mantener las / observaciones precedentemente expuestas.

I



- 38 -

• Se verificaron las planillas de control de entrega y retiro de cintas de respaldo, no encontrándose la información completa ni firmas del funcionario que recepciona los medios de almacenaje.

Sobre lo observado, el alcalde en su respuesta señala que, las planillas se encuentran recepcionadas por la sección de tesorería municipal. y corresponden a las que son retiradas trimestralmente desde el Datacenter.

En atención a lo expuesto por la autoridad municipal, los documentos proporcionados y la validación practicada, se levanta la observación sobre control de cintas de respaldo.

■ Existe un procedimiento de respaldo de servidores a medios online, no obstante, el procedimiento no se encuentra formalizado.

En la respuesta, la autoridad municipal indica que el procedimiento de respaldo se encuentra formalizado a nivel municipal, mediante decreto exento N° 2.010, de 27 de octubre de 2010.

Analizada la documentación puesta en esta oportunidad y que acredita lo informado, corresponde levantar la observación.

■ Se dispone de una herramienta denominada ApoloBackup Off-Site que presta el servicio de respaldo de información en forma diaria y automática hacia servidores externos vía Internet. Asimismo, existe la posibilidad de descarga de informes con detalles de los usuarios habilitados y las estadísticas de uso de la aplicación con el detalle de las acciones realizadas. No obstante, a la fecha de la auditoría no se presentaron reportes de comprobación.

Sobre la materia, la autoridad edilicia adjunta el detalle de comprobación del servicio de software denominada ApoloBackup.

Al respecto, atendido que se encuentran completos los reportes de comprobación, se levanta la observación formulada.

■ La empresa Global Crossing Chile S.A. presta servicios de Hosting y Housing para servidores web, servidores de dominio y base de datos, de los cuales se puede obtener planilla de respaldos por fecha y así verificar realización de respaldos bajo procedimiento establecido por la empresa proveedora en cuanto a periodicidad y tiempos de eliminación. A pesar de ello, los procedimientos, políticas, ubicación de copias, no se encuentran formalizados, difundidos e implementados.

Sobre la materia, la autoridad comunal manifiesta que el procedimiento de respaldo en hosting, políticas, retención, periodicidad y ubicación de copias, se encuentra formalizado por decreto exento N' 2.010, ya señalado.

En atención a los nuevos antecedentes proporcionados por esa entidad comunal, procede levantar la observación.

(-N



- 39 -

4.- Plan de recuperación de desastres.

Mediante oficio N° 1.447, ya mencionado, se informó que el plan de contingencia de los sistemas del servicio comprende las siguientes operaciones:

a) Existe un servicio provisto por la empresa Global Crossing Chile S.A., de Housing y Hosting para servidores con respaldo de 1.5 TB de información, la cual posee planes de contingencia, resguardos, procedimientos de respaldo y continuidad de suministro eléctrico para sus instalaciones, los que se encuentran definidos en su manual de operaciones.

No obstante, no se encuentra definido ni formalizado un plan de contingencias mediante decreto alcaldicio, el cual conste de fases preventiva, reactiva y de mitigación. Lo anterior, dado que el municipio cuenta sólo con las medidas paliativas relacionadas con los servicios entregados por la citada empresa en términos de almacenaje de datos, quedando sin resguardo las operaciones y servicios locales.

En relación con la materia, la autoridad corrobora la observación formulada, señalando que se procederá a elaborar un plan de contingencia, considerando el resguardo de las operaciones y servicios locales.

Lo informado por la autoridad comunal no resulta suficiente para levantar la observación, por cuanto no adjuntó la documentación que respalde el proceso de creación del plan y antecedentes adicionales, por lo que corresponde mantener lo observado.

b) La empresa Global Crossing Chile S.A., entrega enlaces redundantes de comunicación para salvaguardar los datos.

c) Adicionalmente, cuenta con políticas de backup y retención de cintas, orientadas a realizar respaldos diarios con retención bisemanal, semanal con retención mensual y mensual con retención semestral. Cabe señalar que cada trimestre se entrega el respaldo al municipio.

d) Actualmente se opera con una plataforma de bibliotecas de cintas robóticas, HPMSL6000, Quatum M1500 y Quantum PX502, junto al software Symantec Veritas Net Backup.

e) Por otra parte, el Datacenter municipal, posee una UPS en operación, la cual no se encuentra con mantenimiento al día y un grupo electrógeno que sustenta a la red computacional en caso de un corte de energía eléctrica.

Sobre lo observado precedentemente, la autoridad comunal señala que la UPS en operación que se encuentra sin mantenimiento, está siendo licitada según ID 2490-8-LE11, ya mencionada.

En atención a las verificaciones efectuadas en el portal Mercado Público, y a los antecedentes que acreditan el proceso de renovación del equipamiento indicado, procede levantar la observación.



-40-

V.- EJECUCIÓN DE RECORRIDOS DE CONTROLES GENERALES ASOCIADOS A TI.

1.- Sistemas administrativos municipales, incluidos servicios online.

1.1.- Funciones.

Las funciones que realizan los sistemas administrativos municipales en relación con los procesos significativos analizados son los siguientes:

a) Sistema contabilidad gubernamental.

■ Ingreso de cuentas contables, programas y centro de costos. ■ Ingreso de tablas para el funcionamiento del sistema (meses,

áreas, tipo de comprobantes contables, tipo de documentos, tabla centro costos, programas, parámetros y proveedores).

■ Ingreso de presupuesto inicial y modificaciones presupuestarias. ■ Ingreso de obligaciones (contratos, orden de compra,

adjudicaciones y factibilidades). • Ingreso de devengados por proveedor (facturas). ■ Confección de órdenes de pago. ■ Ingreso y contabilización de documentos contables, rendiciones de

cuentas.

b) Sistema tesorería municipal.

-Boletas de garantía.

■ Mantención de garantías. ■ Consulta documento en garantía. • Ingreso de contratos.

-Egresos.

■ Emisión de cheques de distintas cuentas corrientes. ■ Emisión de listados de información, como cuenta corriente de

proveedor. • Generación de listado de conciliaciones bancarias y retenciones de

impuesto. ■ Contabilización de movimientos contables.

-Ingresos.

■ Apertura y cierre de cajas. ■ Anulación de ingresos. ■ Cuadraturas de cajas. ■ Contabilización de ingresos. ■ Conciliación de ingresos. ■ Pagos a través de Internet. ■ Emisión informes varios. ■ Consulta de recaudación por cajas.

c) Sistema patentes comerciales.

■ Consulta de patentes.



-41 -

■ Listar patentes CIPA, según tipo. ■ Administrar solicitud de patente. ■ Mantención del maestro de patentes. ■ Cálculo de patentes. ■ Anulación de patentes y/o giros.

d) Sistema permisos de circulación.

■ Generación de giro para pago de permisos de circulación. ■ Generación de duplicado de permisos de circulación. ■ Emisión de giros de fondos a terceros ■ Bloqueo por sistema de placas patentes. ■ Consultas de pagos años anteriores, de registro de multas, de

incorporaciones y de traslados. ■ Generación de giros de sellos. ■ Mantención de traslado. ■ Asignación de código de S.I.I. ■ Anulación de giros mal emitidos.

1.2.- Tipos de usuarios.

De acuerdo con la información entregada, las cuentas de usuario utilizadas para interactuar con todos los sistemas se conforman por usuarios, perfiles y atributos, que se subdividen de la forma que sigue:

Aplicaciones Perfiles Atributos

Permiso de circulación

Administrador

Supervisor

Usuario

Usuario Básico

Ingresar/Crear

Modificar

Eliminar

Consultar

Patentes comerciales

Tesorería municipal

Contabilidad gubernamental

La creación de los usuarios se realiza a través de la cuenta administrador, entregando privilegios a través de atributos asignados que definen el tipo de cuenta. El mantenedor opera mediante nombre y clave habilitada para obtener el tipo de acceso.

Por otra parte, los permisos se entregan al usuario, independientemente por cada sistema, siendo el administrador el encargado de conceder el acceso. El procedimiento indicado se realiza en términos informales, no quedando establecida la autorización de creación de cuenta ni la baja de la misma cuando el funcionario deja de prestar servicios al municipio.

Sobre el particular, el alcalde señala que no existe un procedimiento formal de solicitud de perfiles de usuarios y contraseñas de acceso, agregando que el procedimiento será formalizado por el departamento de computación e informática, mediante un instructivo para la creación y eliminación de usuarios de los sistemas.



- 42 -

De acuerdo a expuesto, y al no adjuntarse antecedentes de respaldo que den cuenta de la instauración del procedimiento y su formalización, se mantiene la observación.

1.3.- Evaluación de la integridad de la información.

La Municipalidad de Providencia cuenta con una base de datos para los sistemas evaluados, la que aloja 1.357 tablas de registros, evaluándose las que tienen directa relación con los procesos significativos asociados a TI, y que administran datos críticos.

En el caso particular de control de acceso lógico, se evaluó la cantidad de personal activo, pasivo, y su relación contractual con el municipio, validando la integridad de datos relevantes, con el fin de comparar la información procesada con las cuentas de usuario activas para un funcionario y los permisos otorgados para dicha cuenta.

Del análisis practicado se advirtió la posibilidad de inserción de registros idénticos, salvo por la fecha, para el pago de un permiso de circulación en línea, lo que vulnera la seguridad y determina que una persona puede realizar dos veces el mismo pago, como ejemplo, placa patente WJ-4399, año 2010.

El alcalde en su respuesta señala que las transacciones fueron efectuadas a través del portal de pago de la Tesorería General de la República, no siendo confirmadas por dicho portal, quedando como impagas a nivel municipal, y vueltas a pagar por el usuario, situación que fue corregida mediante un control de verificación de pago por placa patente, sin embargo, esa autoridad no adjunta documentación que acredite la incorporación del control informático, por lo que corresponde mantener lo observado inicialmente.

1.3.1.- Control de datos numéricos.

El sistema de contabilidad gubernamental presenta falla en el control de procesos anuales y traspaso de obligaciones, dado que las obligaciones pendientes no se traspasan con el sub-programa y centro de resultado asociado a cada una de ellas.

Además, la operación debe ser realizada en forma manual, realizando el personal de contabilidad la digitación en forma unitaria de cada subprograma y centro de resultados, situación que puede observarse en las obligaciones pendientes del año 2010.

El edil en su respuesta señala que, las obligaciones pendientes de años anteriores se traspasan con el subprograma correspondiente, agregando que éste forma parte de la modificación al clasificador presupuestario municipal, año 2008, sin embargo, no se incluyó la relación de cada obligación pendiente con su código de centro de resultados.

Seguidamente indica que, en lo relacionado con los centros de resultado, el departamento de computación e informática efectuó las acciones correctivas pertinentes, solicitando a la empresa SMC Ltda., encargada de brindar soporte a los sistemas, que relacione las obligaciones pendientes del año 2010, con el código del centro de resultados con el que fue imputado el gasto.



- 43 -

Analizados los argumentos reseñados, se mantiene la observación formulada, toda vez que no se aportan antecedentes que acrediten el requerimiento y ejecución del cambio en los sistemas.

Por otra parte, en el sistema de permisos de circulación, no se encuentran controlados ni codificados los vehículos con año de fabricación 2010 o posterior, que registran pagada la totalidad del permiso del año 2010 o la segunda cuota, considerando el código del Servicio de Impuestos Internos que entrega el Diario Oficial.

Sobre lo observado, el alcalde precisa que existe la posibilidad de codificar los vehículos nuevos en el sistema, es decir, aquellos que a la fecha del cálculo del valor de los permisos de circulación no hayan sido codificados, se clasifican como 'asimilados', regularizándose su codificación en el proceso siguiente que es cuando el código del Servicio de Impuestos Internos es informado.

De acuerdo a lo anterior y, teniendo en consideración la validación de la funcionalidad en el citado sistema, procede levantar el hecho observado.

1.3.2.- Control de validación en el ingreso de datos.

El análisis realizado permitió advertir que, en el módulo de patentes comerciales, al ingresar las direcciones de los contribuyentes, no se realiza validación respecto de si esta pertenece a la comuna. Por lo anterior, a nivel de base de datos, es posible que ella contenga direcciones que no correspondan a Píovidencia, pudiendo comprometer los procesos de cobranza que realiza el municipio.

Sobre el particular, el alcalde en su respuesta señala que, a nivel operacional, el sistema de rentas valida la dirección informada por el contribuyente en el proceso de solicitud de una patente contra una estructura de direcciones definida en el sistema de catastro.

De acuerdo a lo manifestado por esa autoridad comunal, y al análisis realizado al módulo de rentas. corresponde levantar la observación.

Por otra parte, el módulo de permisos de circulación, adolece de un control que permita identificar las placas otorgadas anualmente a las automotoras de la comuna, y que incluya datos esenciales como placa de prueba, placa patente única, marca del vehículo, nombre del representante legal, automotora, RUT y año de otorgamiento.

La autoridad en su respuesta indica que existe un reporte entregado por el sistema de permisos de circulación, que permite identificar las placas otorgadas por las automotoras.

Con respecto a lo señalado, se mantiene lo observado, ya que el edil no aporta antecedentes que acrediten los datos que constituyen el reporte como mínimo, junto con la posibilidad de personalizar los campos a seleccionar.



- 44 -

1 3.3.-Verificación del modelo de datos.

Solicitada con fecha 20 de enero de 2011, información relativa al diseño lógico de la base de datos que soporta los sistemas municipales implantados por la empresa SMC Ltda., la directora de administración y finanzas, con fecha 21 de febrero de 2011, hizo entrega de la respuesta del gerente general de la empresa SMC Ltda., documento en el cual se consigna que los sistemas en operación manejan una base de datos con nombre lógico "municipalidad", y que no poseen diccionario de datos, ante lo cual adjunta el modelo conceptual de los sistemas.

Por otra parte, en relación a las llaves, descripción de tablas y campos asociados a los módulos en estudio, ellos no se adjuntaron.

Al obtenerse acceso parcial al diseño lógico entregado por la empresa SMC Ltda., se realizó un proceso de análisis de las tablas que mantienen los sistemas en la base de datos, advirtiéndose que en el modelo de datos existe riesgo de inconsistencias, al existir cuentas sin validación de unicidad, así como ausencia de datos en las tablas para ciertos elementos contenidos en la base de datos y duplicidad.

Sobre la situación advertida, el edil señala que acoge la observación e informa que serán aplicadas acciones correctivas por parte de la empresa SMC Ltda., encargada de brindar soporte a los sistemas, asimismo, se solicitó la mantención física del modelo de datos de forma de contar en la estructura solamente con las tablas necesarias que utiliza el municipio.

Lo informado por la autoridad permite salvar la observación expresada, en la medida que se cumpla efectivamente, lo que será verificado en futuras fiscalizaciones a la entidad.

1.3.4.- Control de integridad.

En el sistema de permisos de circulación, se detectó que al efectuar el primer pago se habilitan las opciones de solicitante, donde se pueden incorporar datos de la automotora que se encuentra pagando el permiso, sin embargo, al realizar la misma operación por parte de un particular, la opción de datos de automotora se presenta habilitada.

En relación con el módulo de patentes comerciales, se detectó mediante los datos de la base, la ausencia de rol asignado al número de ingreso, dato fundamental para ser utilizado en proceso de regularización de actividades, a modo de ejemplo se cita el ingreso N° 1.553, de 24 de febrero de 2011, encontrándose el ingreso sin rol habilitado.

El alcalde en su respuesta corrobora lo observado, señalando que su regularización se efectuará mediante la generación de un requerimiento para deshabilitar los campos correspondientes a las automotoras cuando el rut del contribuyente no corresponda a ninguna de las automotoras registradas, indicando, además, en relación a la ausencia de rol respecto a un número de ingreso en el módulo de patentes comerciales, que ello se explica debido a que la patente se encuentra en proceso de ser otorgada de acuerdo al procedimiento del departamento de rentas.



- 45 -

De conformidad con lo expresado por esa autoridad y del análisis a los actuales documentos adjuntos a su respuesta, se levanta la observación inicialmente formulada, no obstante, su efectiva regularización será verificada en futuras fiscalizaciones.

1.3.5.- Control de reglas de negocio.

Respecto de la aplicación de tesorería municipal, en las cuadraturas por tipo de pago, se produce una diferencia entre informes, dado que en la cuadratura de pagos por cheque no existe concordancia entre el informe resumen de caja con el detalle de pago con cheque por caja. Lo anterior, al haberse detectado que los informes contenían valores diferentes, lo que obliga a realizar un cruce de datos para verificar el total de ingresos por cheque de cada caja.

Por otra parte, la diferencia se produce por el pago de dos documentos distintos con un solo medio de pago, pues al no hacer el ingreso del segundo pago, el sistema asume como pagado con efectivo y genera la diferencia.

Referente a este punto, el alcalde manifiesta que no es posible dar una respuesta concreta respecto a la diferencia entre informes sobre las cuadraturas por tipo de pago, por cuanto no se hizo entrega del nombre exacto ni la fecha de los informes comparados.

Al respecto, corresponde precisar que el análisis realizado se hizo en base a la información proporcionada por esa entidad comunal, efectuando comparaciones entre el informe de resumen de caja con el informe de tipo de pagos por caja, situación que determinó una diferencia entre ellos.

Conforme a lo expresado precedentemente, y en atención a que esa entidad comunal no acompañó los antecedentes relacionados con la observación antes citada, corresponde mantener lo observado inicialmente.

En relación con el sistema de permisos de circulación, no se cuenta con una consulta que refleje un registro entre los pagos calculados por el sistema y los valores de los permisos de circulación calculados en línea, de forma tal que los usuarios puedan verificar los datos.

Sobre lo anterior, el acalde en su respuesta señala que, en la consulta de pagos calculados en el sistema BackOffice y los valores calculados en Internet, el sistema cuenta con una opción que permite validar estos cálculos.

Al respecto, se ha resuelto mantener la observación formulada, debido a que esa entidad comunal no acreditó la validación del cálculo, sino sólo la existencia de un registro entre los pagos calculados automáticamente por el sistema y los valores de los permisos.

1.3.6.- Pruebas de caja negra.

La auditoría practicada permitió advertir lo siguiente:

Tomando en forma aleatoria el módulo de \permiso de circulación, se advirtió que el pago de la placa patente N° CCLJ-87, no se



- 46 -

ha podido cargar, debido a que el sistema no devuelve los datos asociados a la placa patente.

Del mismo modo, al acceder al sistema de patentes comerciales y en base a los datos analizados, al emitir listados de solicitud, en el reporte aparecen datos del dueño anterior al solicitante, registro donde debiesen aparecer los datos del nuevo dueño con el rol correspondiente por el cambio.

Para el resto de los módulos administrativos municipales, las pruebas realizadas no arrojaron deficiencias respecto a sus operaciones.

Respecto al presente punto, el alcalde informa que el error se produce por un problema conceptual que se radicaba en la operación del sistema, en relación a la atención de solicitudes de patentes, ya que en éste se ingresaba como solicitante del trámite el dueño actual de la patente y no el contribuyente, el cual sería el titular de esta en forma posterior al trámite de cambio de dueño.

Sobre lo anterior, se mantienen las observaciones formuladas, mientras no sean puestos a disposición los antecedentes que respalden las acciones correctivas.

1.3.7.- Pruebas de razonabilidad de cifras calculadas históricamente.

Durante el examen se efectuó una verificación aleatoria de los sistemas administrativos, no presentándose diferencias en las muestras respecto a los cálculos de valores.

1.3.8.- Control de gestión de log de errores.

El sistema administrativo municipal no cuenta con registro de transacciones en cada módulo proporcionado por las empresas SMC Ltda., y ACT Ltda., con el fin de reportar las acciones realizadas por los usuarios poseedores de cuentas vigentes con privilegios. Adicionalmente, no existen consultas a los sistemas para sustentar auditorías internas de seguimientos de operaciones anómalas.

En su respuesta, la autoridad comunal reconoce la situación observada, manifestando que la empresa SMC Ltda., encargada de mantener los sistemas de patentes municipales, tesorería y contabilidad gubernamental, no cuenta con módulos de auditorías y de gestión.

En cuanto a la empresa ACT Ltda., ésta cuenta con un módulo de auditorias, pero no con la gestión de las mismas, agregando que, en la medida que sea factible, en cuanto a tiempo y costo, se implementará su uso.

Analizados los argumentos planteados por el alcalde, no es posible salvar la situación advertida, dado que esa autoridad no informa medidas concretas tendientes al mejoramiento de los sistemas y su seguridad.


SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN """" ÁREA AUDITORÍA 1

- 47 -

1.3.9.-Análisis de sistemas administrativos municipales.

Se desarrolló una evaluación para cada módulo, advirtiendo que se producen problemas puntuales de procesamiento, ingreso y validación de datos. El siguiente es el detalle de falencias:

a) Tesorería municipal.

■ La estructura de las claves no se encuentra definida a nivel lógico mediante restricciones de sistema ni existe normativa formalizada.

■ El sistema permite el ingreso de claves no alfanuméricas. ■ No existe a nivel de módulo de control de acceso, una política de

rotación de clave asociada a un período de tiempo. No existe bloqueo automático del sistema después de un período de inactividad. Las claves de acceso de las cajas son de conocimiento público entre los usuarios de la unidad. No existe opción de extracción masiva de permisos de circulación y cargo de patentes municipales del año anterior. En relación al sitio de pagos online, no se presenta la opción de rescatar comprobantes de pago de impuestos.

En su respuesta, la autoridad comunal sólo informa sobre las claves de acceso, indicando que el funcionario de tesorería expuso que correspondían a las sesiones de inicio de Windows del equipo, el cual es de uso institucional y no personal, no refiriéndose a las claves de acceso del sistema de caja de tesorería.

Analizado el argumento planteado por el alcalde, es posible salvar la situación efectivamente respondida, sin perjuicio de que las observaciones restantes se mantienen, producto de no haberse informado ni documentado acciones correctivas.

b) Patentes comerciales.

El sistema permite el ingreso de claves no alfanuméricas. ■ No existe a nivel de módulo de control de acceso, una política de

rotación de clave asociada a un período de tiempo. • No existe bloqueo automático del sistema después de un período

de inactividad. ■ El sistema no realiza validación de las direcciones de los

contribuyentes para verificar que correspondan a la comuna de Providencia.

■ No se cuenta con reporte de patentes por RUT o dirección en el módulo informes.

■ Las patentes emitidas por sistemas no almacenan la resolución de otorgamiento.

• No están habilitados los reportes del módulo de tesorería municipal.

■ El formato de los reportes, al ser exportados a Excel, debiera encontrarse definido, para así reutilizar los archivos y no tener riegos de anomalías en cuanto a disposición y datos.

• En el reporte de morosos debe ser emitido por defecto el cargo y poseer la opción de consulta por fechas.



- 48 -

No se encuentra la funcionalidad de reportes de pagos que puedan ser seleccionados por el cargo u otras fechas de emisión.

Sobre el particular corresponde mantener la observación formulada, toda vez que esa autoridad no se pronuncia sobre la materia.

c) Permisos de circulación.

■ El sistema permite el ingreso de claves no alfanuméricas.

Referente a las claves de ingreso, el edil corrobora lo observado e indica que deberá generar una política que permita administrar el manejo de usuario y claves, según lo solicitado a la empresa ACT S.A.

En atención a lo expuesto por la autoridad municipal y la validación practicada al efecto, se levanta la observación.

■ No existe a nivel de módulo de control de acceso, una política de rotación de clave asociada a un período de tiempo.

Al respecto, la autoridad municipal confirma lo observado, indicando que se ha solicitado a la empresa ACT S.A., la regularización del módulo.

Considerando la medida dispuesta por el alcalde, la observación planteada se levanta, en el entendido que ella será implementada efectiva y oportunamente, lo que se verificará en futuras fiscalizaciones.

■ No existe bloqueo automático del sistema después de un período de inactividad.

El alcalde en su respuesta corrobora lo planteado, y agrega que se solicitará su implementación a la empresa ACT S.A.

Considerando la medida dispuesta por el alcalde, la observación planteada se levanta, en el entendido que ella será implementada efectiva y oportunamente, lo que se verificará en futuras fiscalizaciones.

• La clave de acceso se puede modificar por sistema, sin embargo, no se realiza debido a que no se encuentra regulado por una instrucción formal.

Sobre el particular corresponde mantener la observación formulada, toda vez que esa autoridad no se pronuncia sobre el particular.

■ El sistema no permite una búsqueda directa por codificación de vehículo, de acuerdo a los registros del S.I.I.

La autoridad edilicia expone que el sistema posee búsqueda por codificación de vehículo, sin embargo, no se adjunta respaldo en la respuesta que permita validarla, por lo tanto, se mantiene la observación.

• El sistema no avisa cuando la placa patente no es de la comuna.

El alcalde expone que se deberá revisar el trámite administrativo y ajustar el funcionamiento del sistema a la definición. No



- 49 -

obstante lo expuesto, debido a que no se adjunta documentación que evidencie medidas correctivas, procede mantener la observación.

No existen herramientas de autocompletación de marca, modelo y otros, a nivel de sistema.

La autoridad municipal expone que existe posibilidad de autocompletación en forma parcial, donde las letras de la palabra filtran el menú desplegable para la búsqueda de vehículo.

No obstante lo señalado, al no acompañarse documentación que respalde las medidas correctivas, procede mantener la observación.

• En relación a los reportes, no existe la posibilidad de generar un listado de contribuyentes morosos.

Al respecto, el edil expone que en el sistema existe un informe de morosidad pendiente, que cumple con los datos requeridos.

En base a las pruebas efectuadas, se verificó la existencia del informe, por lo que procede levantar la observación.

• Con respecto al pago de las segundas cuotas que vienen desde otras comunas, no se pueden listar por medio del sistema a fin de realizar el control de la devolución.

La autoridad en su respuesta aclara que la funcionalidad se encuentra inserta en el módulo de tesorería municipal, señalando que esa unidad es la que desarrolla la devolución de los pagos.

En base a las pruebas efectuadas, se corrobora la existencia de la funcionalidad en tesorería, por lo que se levanta la observación.

d) Contabilidad gubernamental.

■ El sistema permite el ingreso de claves no alfanuméricas. • No existe a nivel de módulo de control de acceso, una política de

rotación de clave asociada a un período de tiempo. ■ No existe bloqueo automático del sistema después de un período

de inactividad. ■ El administrador no posee atributos de administrar perfiles de

subalternos. ■ No se encuentra en línea el sistema con tesorería municipal, al

final del día se realiza una carga masiva de los datos. ■ El sistema no posee un módulo de recepción y tramitación de

facturas para pago, actualmente se lleva el proceso en planilla Excel a cargo de la secretaría de la sección de contabilidad presupuestaria.

La autoridad edilicia solamente informa respecto de la conectividad entre los sistemas de contabilidad y tesorería, exponiendo que los ingresos municipales son cargados al final del día en contabilidad de forma masiva, como un procedimiento de control que permite revisar previo a la contabilización del día los documentos que respaldan los ingresos diarios.



- 50 -

Analizado el argumento planteado por el alcalde, no es posible salvar la situación advertida, debido a que no se encuentra habilitada la conectividad entre los sistemas citados anteriormente, a fin de revisar transacciones entre las diferentes unidades participantes de los procesos de la dirección de administración y finanzas, como por ejemplo, venta de permisos, patentes, y pago de derechos.

Por otra parte, el edil expone para las letras a), b), c) y d), que se le solicitará a las empresas SMC Ltda., y ACT Ltda., a cargo de la explotación de los sistemas, que controlen en aquellos sistemas que sean necesarios las inactividades de las sesiones de usuario en los sistemas a su cargo de manera que las aplicaciones se bloqueen de forma automática después de un tiempo sin ser utilizadas, medida cuya efectividad se verificará en futuras fiscalizaciones.

VI.- CONTROLES ESPECÍFICOS ASOCIADOS A APLICACIONES DE PROCESOS SIGNIFICATIVOS

1.- Control de acceso lógico.

1.1.- Alcances a procedimientos de administración de cuentas.

Existen procedimientos asociados a la administración de cuentas que operan en los sistemas informáticos administrativos municipales que proveen las empresas SMC Ltda., y ACT Ltda.; los aspectos relevantes a mencionar son:

a) Los sistemas que operan en el municipio cuentan con módulo de seguridad de acceso. Se utilizan claves sin restricción mínima de caracteres alfanuméricos, pudiendo dejarse en blanco la clave de acceso en el caso del sistema de permisos de circulación entregado por ACT Ltda., lo que vulnera la seguridad del perfil habilitado, en relación a los atributos que posee y acciones que puede realizar el operador.

La autoridad comunal señala que el departamento de computación e informática elaborará una política para la creación de cuentas y administración de claves de usuarios.

Conforme a la respuesta proporcionada, se mantiene la observación, mientras no se materialicen las acciones tendientes a regularizar la deficiencia advertida.

b) Se realizó un análisis de las bases de datos que resguardan las cuentas de acceso del personal municipal de los sistemas suministrados por las empresas ya citadas, advirtiéndose que existen diferencias respecto de la cantidad de cuentas informadas por el secretario comunal de planificación, según oficio N° 1.447, ya mencionado, a continuación se presenta el total de cuentas:



-51 -

Nombre del Sistema Registro Total según Auditoría

Registro Total Municipio

Diferencia de cuentas no informadas

Tesorería 76 55 21

Patentes Comerciales 53 41 12

Permisos de Circulación (Sin uso)

2 4 0

Contabilidad Gubernamental 129 43 86

Permisos de Circulación ACT

Ltda. 257 Sin datos 257

El edil expone que serán revisados los sistemas junto a las unidades usuarias y las cuentas de acceso a los sistemas a objeto de regularizar las que correspondan.

Conforme la respuesta proporcionada, se mantiene la observación, mientras no se materialice la implementación de las acciones tendientes a regularizar la deficiencia advertida.

c) No existe en los sistemas administrativos del municipio, un campo que defina el tipo de usuario como básico, avanzado y administrador, definición de acceso a los sistemas que está relacionada con los privilegios. Al no tener el identificador de tipo de cuenta en la base de datos, sólo se pudo realizar el análisis para separar la totalidad de las cuentas por tipo de atributos asociados al usuario. El detalle de las cuentas consolidadas es:

Nombre del Sistema Registro auditoría por nivel Cuentas A B C D E Vigentes

Tesorería 0 9 62 69 34 21

Patentes Comerciales 1 1 20 31 4 12

Permisos de Circulación 0 0 0 3 4 0

Contabilidad Gubernamental 0 0 65 129 30 86

Permisos de Circulación ACT Ltda.

Sin datos

119 32 130 128 257

A continuación, un detalle de los perfiles asociados a la nomenclatura:

Tipo perfil Detalle A Administrador (crear usuarios y perfiles). B Eliminar. C Modificar. D Consultar. E Crear.

S/D Sin datos.



- 52 -

La autoridad comunal señala que se incluirá la administración de perfiles para cada una de las cuentas, a modo de ejemplo, básico, avanzado y administrador.

Lo informado por la autoridad municipal, no permite salvar la objeción planteada, por cuanto no se adjunta documentación que permita corroborar la aplicación de las medidas correctivas.

d) En relación a la entrega de base de datos, se analizó la cantidad de usuarios habilitados, cuentas activas y calidad jurídica, observando que para los sistemas analizados de la empresa SMC Ltda., existen registrados 106 usuarios, los cuales poseen 255 cuentas activas, el detalle se señala en anexo N° 11

e) La clave de acceso es visible al administrador en la base de datos, vulnerando la seguridad y privacidad del usuario.

f) El modelo de datos acepta que la clave de acceso sea nula y sin límite de caracteres.

9) Se detectó la existencia de 33 usuarios vigentes sin clave de acceso habilitada, de los cuales 3 corresponden a cuentas de acceso de los bancos, a modo de ejemplo, BCI y Banco de Chile.

h) De las 255 cuentas evaluadas, se determinó que existen 21 usuarios con 2 o más cuentas, el detalle se indica en anexo N° 11.

i) Se verificó la existencia de 83 cuentas con nombre de usuario numérico, sin descripción o referencia, ver anexo N° 11.

j) El funcionario RUT N° 17.389.575-5, a pesar de tener calidad jurídica a contrata, posee permisos totales en el módulo de tesorería municipal.

k) Se determinó la existencia de funcionarios con más de un usuario, algunos no definiendo sistemas asociados.

I) Dentro del análisis realizado, se constató que no existe personal a honorarios que posea cuentas de acceso a sistemas. Por otra parte, existen 32 cuentas de acceso correspondientes a personal a contrata de nivel técnico profesional y 2 a personal auxiliar, ver anexo N° 11.

m) Respecto a la cuenta de acceso del funcionario RUT N° 7.405.191-K, éste registra acceso al sistema de adquisiciones, contrastando con su función de chofer municipal.

n) En relación con los RUT de los funcionarios, N°s 15.907.926-0; 15.712.804-3 y 17.389.575-5, éstos poseen privilegios de administración, no obstante ser personal a contrata.

o) Por otra parte, el RUT N° 11.338.983-4, no cuenta con un patrón único de designación de nombre de usuario. Asimismo, para el RUT N° 9.528.425-6, el funcionario posee tres cuentas de acceso de las cuales dos son numéricas y sin asociación a sistemas.



- 53 -

P) Existen 15 nombres de usuarios no acreditados, debido a que corresponden a cuentas grupales, temporales y de prueba, lo cual vulnera la seguridad, dado que no existe identificación del propietario o administrador de cada una.

q) De acuerdo a lo anterior, mediante pruebas sobre las bases de datos suministradas, se procedió a verificar si existían cuentas activas de personal cesado en funciones, situación que no se verificó. Todos los perfiles en sistema revisados son usuarios asociados a funcionarios municipales, incluso los que cuentan con permisos de nivel superior.

r) Dentro de las bases de datos se contempla un campo de estado de cuenta de usuario, el cual se advierte que no es usado en todos los sistemas, debido a que en la revisión practicada se encontraron cuentas con datos inconsistentes que no estaban marcadas como inactivas.

s) La creación, modificación y desvinculación de cuentas de acceso a sistemas administrativos es realizada por el departamento de computación e informática, sin un procedimiento formalizado y decretado a nivel municipal. Para el control de acceso a los sistemas, los recurrentes de las unidades deben informar a dicho departamento sobre la creación de cuentas, desvinculaciones y modificaciones de funcionarios.

La autoridad municipal señala, para las letras d) a la s), que las observaciones serán remitidas a la empresa SMC Ltda., a cargo de la explotación de los sistemas, a fin de que analice cada uno de los puntos mencionados y entregue las soluciones pertinentes, de manera de subsanar inconsistencias y vulnerabilidades que podría presentar el sistema a nivel de gestión de cuentas de usuario.

Considerando que no se aportan documentos que acrediten la definición de las políticas de control y procedimientos adicionales, procede mantener las observaciones formuladas.

t) En relación con el acceso fuera de horario, se pudo constatar que no existe control del uso de los sistemas por parte del municipio.

Sobre el particular, el edil señala que se generará una política que regule la creación de cuentas de usuarios e integre monitoreo y registro de accesos a los horarios fuera de los períodos regulados.

Dado que no se aportan documentos que acrediten la definición de las políticas citadas previamente, procede mantener la observación.

1.2.- Revisión de gestión de cuentas de Sistemas Administrativos Municipales de las empresas SMC Ltda., y ACT Ltda.

De acuerdo al análisis efectuado de la base de datos en SQL Server se advierten los siguientes alcances al diseño lógico respecto de los módulos en estudio:

a) Para el caso de los módulos de SMC Ltda., se detectó que las tablas usuarios, sistemas, servicios, dominio y departamentos, presentan anomalías, las cuales se indican a continuación:



- 54 -

■ El nombre de usuario se encuentra definido como obligatorio de 8 caracteres alfabéticos, sin embargo, existen 83 usuarios definidos como numéricos.

■ En relación con la tabla de sistemas, el campo de nombre de directorio se define como obligatorio, situación que no se refleja en el análisis, dado que para los sistemas de bienestar, patentes comerciales y registro de multas, no figura ese dato.

■ A nivel de la tabla servicios, se posee llave primaria por medio del código de servicio. No obstante, los datos de nombre y departamento, no se indican para relacionar el sistema con el perfil.

■ Respecto a la tabla dominio, al no tener el código de servicio, pierde consistencia debido a que no se puede determinar la dependencia del sistema al servicio donde se encuentra instalado.

■ La estructura de la tabla departamento, posibilita la existencia de datos inconsistentes de acuerdo a lo analizado, debido a que no permite valores nulos ni restricciones a los datos adicionales.

En su respuesta el alcalde señala que se instruirá a la empresa SMC Ltda., a cargo de la explotación de los sistemas, que analice cada uno de los puntos mencionados y entregue las respuestas y soluciones pertinentes de manera de subsanar inconsistencias y vulnerabilidades que podría presentar el sistema a nivel de gestión de cuentas de usuario.

Examinados los nuevos antecedentes proporcionados por ese municipio, se mantiene la observación planteada, al no acreditarse la adopción de medidas correctivas.

b) Por otra parte, en el caso del módulo de permisos de circulación de la empresa proveedora ACT Ltda., el control de acceso se encuentra definido por un nombre de usuario y clave de acceso, por medio de la tabla usuario. Sin embargo, la cantidad de caracteres para el nombre de usuario no se encuentra restringida respecto a un mínimo o máximo, ni cuenta con clave encriptada.

c) En relación con la tabla usuario, sus campos aceptan valores nulos excepto para el campo nombre. Se detectó del análisis realizado que existen 33 cuentas de usuario con clave tipo nula, de los cuales hay solamente 3 vigentes.

El alcalde en su respuesta indica, para las letras b) y c), que se instruirá a la empresa ACT Ltda., que efectúe las modificaciones enunciadas, por lo tanto, se mantienen las observaciones hasta que el municipio acredite las mejoras en el sistema.

2.- Control de cambios.

En los sistemas administrativos municipales, actualmente no existe un módulo de control de transacciones que consolide los movimientos propios de cada una de las aplicaciones. Al respecto, se puede indicar lo siguiente.



- 55 -

■ No existen aprobaciones formales para la asignación y utilización de cuentas con atributos de modificación o eliminación de datos en actividades propias de la función.

■ El control de cambios que realiza el municipio en los sistemas no registra los resultados de las mantenciones realizadas, salvo en algunos casos en que se cuenta con el número de versión del módulo en operación. Por otra parte, se verificó que algunos sistemas no poseen identificador de versión actual y anterior, a fin de realizar seguimiento a cambios e instalaciones.

■ En cuanto a las aplicaciones que se encuentran disponibles en el portal de Internet, no existe información que registre y fundamente los cambios realizados, a excepción de los que son regulados por ley.

■ Dentro del proceso de control de cambios no existe de manera formal una evaluación del impacto potencial sobre el ambiente de TI, módulos adicionales, base de datos y controles.

La autoridad edilicia en su respuesta indica que el departamento de computación e informática trabajará en la definición de una política de control de cambios para los sistemas municipales, verificaciones de pruebas y control de versiones de los sistemas.

Dado que no se aportan documentos que acrediten la definición de las políticas de control y procedimientos adicionales, procede mantener la observación.

VII.- SOBRE CUMPLIMIENTO DE DECRETOS

Se evaluó el cumplimiento de los decretos supremos del Ministerio Secretaría General de la Presidencia N°s 77, 81 y 83 de 2004, y los N°s 93 y 100 de 2006, determinándose lo que en cada caso se señala:

1.- Decreto supremo N° 77, de 2004, del Ministerio Secretaría General de la Presidencia: Regula de manera general y supletoria las comunicaciones entre órganos del Estado y las de éstos con las personas de aquellos ámbitos no regulados por esta norma.

Se carece de mecanismos de autenticación o de control de acceso de las direcciones de correos electrónicos que contengan respuestas de un servicio.

Al respecto, el edil expone que se trabajará en una planificación para abordar y solucionar estas observaciones y efectuar las medidas de corrección.

En atención a lo señalado por la autoridad municipal y al no disponer de documentación que acredite las acciones a realizar, se mantiene la observación.

2.- Decreto supremo N° 81, de 2004, del Ministerio Secretaría General de la Presidencia: Aprueba norma técnica para los Órganos de la Administración del Estado sobre la interoperabilidad de documentos electrónicos.



- 56 -

a) Los documentos electrónicos diseñados para ser modificados no utilizan XFORMS.

b) Los esquemas no se componen de manera consistente con las etiquetas y tipos de datos que figuran en el registro o diccionario.

c) No se admite presentación de documentos en soporte papel para ser digitalizados e incorporados en el expediente electrónico.

d) La presentación visual de los documentos electrónicos almacenados en los repositorios no es realizada en XHTML.

e) En la implementación de los repositorios no se consideran los siguientes tipos de búsqueda:

Texto completo

XQuery

Navegación

Búsqueda avanzada

f) No se encuentran establecidas las políticas en relación a que todo esquema definido será público, de libre disponibilidad y persistente excepto en documentos confidenciales.

g) No existe un registro de esquema XML, que potencie la reutilización de esquemas que sean de aplicación transversal.

h) No se encuentran establecidas reglas sobre las directivas de creación de esquemas.

i) Respecto a los metadatos y definición de diccionarios semánticos, no existen.

El edil en su respuesta corrobora la totalidad de las observaciones, señalando que se requerirán los servicios en un contrato de soporte de los sistemas documental, firma electrónica y otros. Sobre la carencia de esquemas, indica que su desarrollo será incluido como hito en el contrato de soporte referenciado anteriormente.

Por otra parte, indica que el municipio posee un repositorio electrónico de almacenamiento y consulta.

En relación con las letras d), f), g), h) e i), la autoridad edilicia indica que se considerarán como mejoras del sistema en cuanto se cuente con un servicio de soporte. Además, expone que la navegación cumple con la búsqueda de documentos.

Considerando lo expuesto por esa autoridad municipal y al no disponer de documentación que acredite las acciones definidas para realizar las mejoras, se mantienen las observaciones sobre la interoperabilidad de documentos electrónicos.



- 57 -

3.- Decreto supremo N° 83, de 2004, del Ministerio Secretaría General de la Presidencia: Aprueba norma técnica para los Órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos.

a) En relación con la seguridad de los documentos electrónicos en cuanto al desarrollo, almacenamiento, acceso y distribución, no se efectúan los siguientes procedimientos:

• Diseño y documentación de acciones para poner en práctica las políticas de seguridad de los documentos electrónicos.

• Implementación de procesos de almacenamiento, acceso y distribución de documentos electrónicos.

• Monitoreos del cumplimiento de las políticas de seguridad del documento electrónico.

• Capacitación a los usuarios.

• Definición y documentación de los roles y responsabilidades.

b) No se han efectuado estudios de análisis de riesgo y/o costo beneficio de la seguridad del documento electrónico.

c) En cuanto al establecimiento de políticas que fijen directrices en materias de seguridad de documento electrónico, éstas no han sido definidas.

d) Dentro de las funciones del encargado de seguridad, no se contempla el desarrollo inicial de las políticas de seguridad al interior de la organización ni establecer puntos de enlace con otros organismos públicos y especialistas externos.

e) Los documentos electrónicos y sistemas informáticos no han sido clasificados y etiquetados para indicar la necesidad, prioridad y grado de protección.

f) El encargado de seguridad no ha propuesto procedimientos de manipulación requeridos para el documento electrónico en cuanto a copiado, almacenamiento, transmisión por correo electrónico y destrucción.

g) Las responsabilidades de seguridad aplicables al personal no son explicitadas en la etapa de selección ni se incluyen en los decretos de nombramiento.

h) No se aplican políticas de segregación de funciones para reducir el riesgo de negligencia y mal uso deliberado de los sistemas.

i) No hay difusión de instrucciones respecto al uso del correo electrónico en sentido que:

• No se divulguen ni almacenen contraseñas de acceso.

• Elección de contraseñas seguras.



- 58 -

• Conveniencia que los usuarios posean cuentas diferentes a las de uso personal.

• Uso del correo electrónico institucional.

• Responsabilidades de los usuarios en caso de comprometer a la institución.

j) Los equipos usados en el almacenamiento no son reformateados en forma previa a ser dados de baja.

k) En relación a la asignación de identificadores, existe desconocimiento de cambiar los identificadores cuando haya indicios de un posible compromiso de seguridad.

I) No se incentiva y facilita el uso de certificados de firma electrónica.

m) En relación con las actividades de los usuarios, no se incentiva a cerrar las sesiones activas en el computador ni asegurar los equipos mediante contraseña.

n) Respecto a los servicios de red internos y externos:

• No se mantiene un catastro del equipamiento que permita la reproducción o transmisión masiva a personas con privilegios de acceso.

• No se imparten instrucciones en relación a redes y servicios de red a los que el acceso se encuentra permitido.

• No existen controles de gestión y procedimientos para proteger el acceso a conexiones de red.

o) El encargado de seguridad no formula un plan de contingencia para asegurar la continuidad de las operaciones críticas.

p) Las políticas tendientes a la obtención del nivel avanzado de seguridad de los documentos electrónicos no se desarrollan.

Sobre el particular, el alcalde indica que, respecto a las letras a) a la p), se planificará la definición de políticas de seguridad y controles en documentos electrónicos. Por otra parte, se desarrollará un plan de capacitación para los usuarios que trabajen con documentos electrónicos a nivel municipal, asimismo, los roles y responsabilidades sobre la documentación electrónica.

Analizada la respuesta de la autoridad edilicia, y considerando la ausencia de documentación que sustente las acciones informadas, corresponde mantener todos los puntos indicados en el presente numeral, sobre seguridad y confidencialidad de los documentos electrónicos.

4.- Decreto supremo N° 93, de 2006, del Ministerio Secretaría General de la Presidencia: Aprueba norma técnica para la adopción de medidas destinadas a minimizar los efectos perjudiciales, de los mensajes



- 59 -

electrónicos masivos no solicitados, recibidos en las casillas electrónicas de los Órganos de la Administración del Estado y de sus funcionarios.

a) No existe una definición y documentación de roles y responsabilidades de las unidades organizacionales e individuos involucrados en los aspectos relacionados con el manejo de correos electrónicos masivos.

b) No se guarda la confidencialidad de casillas electrónicas institucionales a través del sitio Web.

Con respecto a las letras a) y b), el edil indica que se planificará la definición de medidas destinadas a minimizar los efectos perjudiciales de los mensajes electrónicos masivos no solicitados.

Considerando lo informado por la autoridad municipal y al no poseer documentación que de cuenta de acciones concretas para minimizar la mensajería masiva, se debe mantener lo observado inicialmente.

5.- Decreto supremo N° 100, de 2006, del Ministerio Secretaría General de la Presidencia: Establece características mínimas obligatorias que deben cumplir los sitios Web de los Órganos de la Administración del Estado.

a) La entidad edilicia no desarrolla tareas que permitan implementar en el sitio Web las directrices principales de las normas internacionales sobre accesibilidad para personas discapacitadas.

b) El sitio Web municipal no cuenta con código HTML o XML v. 1.0. Lo anterior, no es validado por la entidad o un tercero autorizado.

c) Por parte del Administrador no se monitorea la actividad del sitio Web, prestando atención a los códigos de error y a los elementos más visitados.

d) No se informó al Comité de Normas sobre el nivel en que se encontraba la institución antes del 12 de enero de 2007, ni tampoco si se mantenían contratos vigentes que impidiesen el cumplimiento total o parcial de la norma.

En relación con las características mínimas obligatorias que deben cumplir los sitios Web, el edil indica que se planificará incorporar las directrices principales de las normas internacionales sobre accesibilidad para personas discapacitadas y las indicaciones dadas en el preinforme.

Cabe señalar que la respuesta corrobora la observación, sin indicar medidas para el mejoramiento de la seguridad en la mensajería, por lo que procede mantenerla.

En relación al cumplimiento del decreto supremo ya citado se realizó una revisión al sitio Web municipal http://www.providencia.cl , detectándose las siguientes situaciones:

a) La codificación del sitio Web corresponde a UTF-8, efectuada la evaluación del código fuente disponible en el sitio Web.



-60-

b) El análisis, diseño y mantenimiento del sitio Web municipal de Providencia se encuentra externalizado a la empresa Marketing Interactivo Global S.A. Por otra parte, el contenido es administrado por personal del departamento de relaciones públicas, dependiente del gabinete de alcaldía.

c) Se realizaron búsquedas en diferentes formatos, advirtiéndose que el buscador del sitio Web se encuentra habilitado y operativo.

d) Las políticas de privacidad del sitio Web no se encuentran habilitadas y presentadas a los usuarios.

e) Se realizaron pruebas con los principales Browsers y se verificó la compatibilidad de ellos para acceder a la navegación sobre el sitio Web municipal, dentro de las pruebas se usaron Internet Explorer, Firefox, Safari, Opera y Google Chrome.

f) Analizado el registro de nombres de dominio "NIC.CL ", se detectó que la Municipalidad de Providencia, posee siete dominios, dentro de ellos se encuentra www.providencia.cl y otros seis orientados a los servicios comunales, los cuales se encuentran vigentes y con los pagos al día. Antecedentes adicionales, tales como razón social, nombre servidor primario y tipo de organización, pueden ser consultados en el anexo N° 12.

g) Se realizó la validación de la estructura del sitio Web municipal, www.providencia.cl , no encontrándose errores en el diseño y con una codificación válida UTF-8, XHTML 1.0 transicional. Sin embargo, respecto al uso de hojas de estilo en cascada, se detectó la existencia de 55 errores.

h) Mediante el análisis de las hojas de cascada de estilo (CSS versión 2.1), utilizadas en los sitios Web municipales, se detectó que www.providencia-biblioteca.cl y www.iuventudprovidencia.cl ,

presentan 573 y 13 errores, respectivamente, el detalle de ellos se indica en anexo N° 13.

i) Los sitios Web municipales, www.cdprovidencia.cl , www.providencia-biblioteca.cl , www.spaprovidencia.cl , www.providencia-adultomayor.c1 y www.juventudprovidencia.cl ,

fueron analizados respecto a su estructura y diseño, mediante normas de W3C, arrojando 44, 56, 50, 24 y 109 errores respectivamente, el detalle se señala en anexo N° 14.

Sobre las observaciones contenidas en los literales a) a la i), la respuesta no informa acciones correctivas, situación que determina que sean mantenidas en su totalidad.

Por otra parte, dicha respuesta expresa que actualmente se está trabajando en bases de licitación que permitan acceder a un contrato que aborde la parte técnica y la parte normativa legal vigente, a un mediano plazo.



-61 -

En conclusión, informa que sobre los decretos supremos N° 77, N° 81, N° 83 de 2004, y N° 93 y 100 de 2006, se ha determinado trabajar en los años 2011 y 2012, respecto a los aspectos normativos.

CONCLUSIONES.

Atendidas las consideraciones expuestas durante el desarrollo del presente trabajo, corresponde concluir que la Municipalidad de Providencia ha regularizado diversas observaciones incluidas en el Preinforme, no obstante, deberá abocarse a resolver las subsistentes; todo ello, según el detalle que sigue:

1.- Las observaciones señaladas en el capítulo I, numerales 3, diagrama de red, relacionado con la formalización del procedimiento estructural sobre respaldo e integridad de datos, 4.1, letra c), sobre mantenimiento de UPS; capítulo III, numerales 1, sobre garantía y desembolsos por contrato de ACT S.A., 4, relacionado con los gastos realizados, 5, sobre boletas de garantía y desembolsos por contrato empresa Suministra S.A., 6, sobre acreditación de pagos de la empresa Sistemas Modulares de Computación Ltda.; capítulo IV, numeral 1, letras b), sobre encriptación de la información en los respaldos y, c), procedimiento de retención de la información; punto 1.1, sobre inventario de equipamiento informático, letras a), b); punto 1.2, sobre antivirus Kaspersky; punto 2, letras a), b), s) y t), 3, sobre respaldo de servidores a medios online y formalización de procedimiento de almacenamiento de información; punto, 4, letra e), sobre renovación de equipos UPS; capítulo V, numeral 1, puntos 1.3.1, sobre permisos de circulación, 1.3.2, control de validación en el ingreso de datos, 1.3.3, sobre verificación del modelo de datos, 1.3.4, sobre control de integridad; y, 1.3.9, letras a) y c), se dan por subsanadas, considerando las explicaciones y antecedentes aportados por la institución.

2.- Respecto al capítulo I, ambiente de TI actual del servicio, numerales 2, sobre estructura organizacional, y 3, diagrama de red, esa entidad comunal deberá adoptar las medidas necesarias que permitan normalizar la estructura del departamento de computación e informática, realizar evaluaciones de calificación técnica profesional del personal del precitado departamento e implementar procedimientos y servicios propios, orientados a la recuperación ante desastres.

3.- En relación con el capítulo II, control interno, procesos TI y riesgo de fraude, numeral 1, control interno, letras b), y d), la autoridad municipal deberá normar el proceso de toma de decisiones en relación a la inversión en equipamiento, establecer revisiones programadas para verificar el estado de la plataforma de software y hardware, así como evaluar la ejecución de auditorías con un enfoque a las TI en las plataformas antes citadas, y políticas de rotación de equipos.

4.- Acerca del capítulo III, sobre revisión de contratos vigentes asociados a TI, el municipio deberá adoptar las medidas tendientes a integrar en futuros contratos cláusulas que regulen controles aplicados sobre; confidencialidad de la información; plan de contingencias para accesos indebidos, siniestros físicos y lógicos; posibilidad de auditar módulos del sistema administrativo municipal y sus datos; devolución o destrucción de la información y

enes; asesoría técnica a proporcionar por los servicios contratados; disposiciones



- 62 -

para informar sobre incidentes de seguridad; cumplimiento de normativa gubernamental en relación con la publicación, uso y administración de la información municipal; restricciones de copiado y divulgación de la información municipal; especificaciones de los detalles técnicos por servicios entregados y fechas de facturación de los servicios (V. N° 1, 2, 3, 4, 5 y 6).

En relación con el contrato celebrado con la empresa Global Crossing Chile S.A., la boleta de garantía deberá ampliarse por el período de cobertura del contrato, hasta el 28 de diciembre de 2013.

Respecto a la boleta de garantía del contrato celebrado con la empresa Orion 2000 S.A., esa autoridad comunal deberá exigir que, mediante el documento pertinente, la empresa caucione el estricto cumplimiento del servicio, de acuerdo a lo establecido en el respectivo contrato.

5.- Sobre las observaciones señaladas en el capítulo IV, sobre controles generales asociados al entorno de TI, la autoridad municipal deberá establecer procedimientos de control respecto del perfilamiento de acceso para personal municipal. Asimismo, en relación con el mantenimiento y planes preventivos de software y hardware, la autoridad deberá formalizar los procedimientos de mantenimiento y revisión de la plataforma informática.

Por otra parte, el edil deberá adoptar las medidas tendientes para regularizar el licenciamiento de software de oficina; la implantación de una normativa de seguridad en el sistema de control de acceso y certificación de instalaciones. (V. N° 1, letras a), d), e), y h).

En relación con lo advertido en los puntos 1.1, letras c), d), 1.2; sobre inventario de equipamiento informático, y carencia de licencias, respectivamente, la autoridad municipal deberá instruir la actualización del equipamiento informático, confirmar documentación existente en bodega externa para equipos que no poseen número de inventario, acreditar la implantación de sellos de seguridad para resguardar los componentes informáticos y efectuar el licenciamiento de los equipos restantes para cubrir la aplicación de oficina Microsoft Office.

Respecto a las observaciones formuladas en el numeral 2, del mismo capítulo, sobre seguridad física, la autoridad municipal deberá efectuar las modificaciones que permitan validar la utilización de abrazaderas de cables de red, la realización de aseos programados, la utilización de racks de comunicaciones seguros, la instalación de chapas de seguridad en tablero eléctrico, la reparación de la barra interior de puerta de acceso, la regularización de la iluminación, la instalación de canaletas de cables de red, la distribución del cableado de servidores y periféricos, así como el nombramiento de servidores.

Por otra parte, deberá evaluarse la modificación estructural respecto a la instalación de muros con propiedades de aislación calórica, rectificación de la instalación de sensor de humedad, posicionamiento adecuado de un extintor, instalación de un sistema de control de acceso automático, distribución de cableado al interior de la sala de servidores, regulación del uso de alargadores eléctricos, reposicionamiento del interruptor de apertura de la puerta del datacenter, regularización en la seguridad de la puerta de acceso de la dependencia anexa a sala de servidores y certificación de puntos de red municipal (V. N° 2, letras c), d), e), f), g), h), i), j), k), I), m), n), p), q), r), u), v), w), y) x).



- 63 -

Asimismo, se deberá implementar un procedimiento para ejecutar los respaldos conforme a un único responsable y realizar pruebas de los procesos regularmente. Asimismo, en relación con el plan de recuperación ante desastres, la autoridad deberá crear, formalizar y difundir, un plan de contingencias (V. N° 3, y N° 4, letra a).

6.- En lo que se refiere al capítulo V, sobre ejecución de recorridos de controles generales asociados a TI, el municipio deberá establecer un procedimiento formal para la creación, asignación y baja de cuentas de acceso a sistemas para usuarios municipales; modificar el procedimiento de inserción de registros para el pago de permisos de circulación para evitar duplicados; evaluar la criticidad de operar con los sistemas administrativos municipales, considerando la existencia de fallas en el modelo lógico. Por otra parte, evaluar la inclusión de una cláusula en los contratos de sistemas administrativos municipales, que regule la entrega de documentación relativa al diseño lógico de la base de datos a este Organismo de Control, sólo para los efectos de su fiscalización (V. puntos 1.2, 1.3, 1.3.1, 1.3.2, 1.3.5, 1.3.6, 1.3.8, 1.3.9, letras a), b), c) y d).

7.- Con respecto al capítulo VI, numerales 1 y 2, sobre aspectos relacionados al control de acceso lógico, y control de cambios, la autoridad municipal deberá adoptar las medidas tendientes a regularizar las observaciones indicadas en el presente informe, las que serán verificadas en futuras visitas de este Organismo de Control. (V. N°1.1, letras a), b), c), e), f), g), i), k), m), n), o), p), r), s) y t); 1.2, letras a), b) y c), y N° 2).

10.- Respecto al capítulo VII, la autoridad municipal deberá adoptar las medidas necesarias para cumplir los decretos supremos del Ministerio Secretaría General de la Presidencia, relacionados con el ambiente TI.

Transcríbase al Alcalde, al concejo municipal y a la dirección de control de la Municipalidad de Providencia.

Saluda at tamente a Ud.

/

FIGUtIket JEFA AREA AUDITOR1

SUBDIViSIÓN AUDITORIA E 11■IS ECCION

DIVISIÓN DE MUNICIPALIDADES

www.contraloria.c1

Informe final n15 11 municipalidad de providencia sobre auditoria de tecnologia de informacion y...

News & Politics

Transcript of Informe final n15 11 municipalidad de providencia sobre auditoria de tecnologia de informacion y...